Pravila o otkrivanju ranjivosti

 

Lenovo je posvećen isporuci neopasnih i sigurnih proizvoda i usluga. Kad se otkriju ranjivosti, marljivo radimo na njihovom rješavanju. Ovaj dokument opisuje pravila Lenova za zaprimanje izvješća vezanih uz potencijalne sigurnosne ranjivosti naših proizvoda i usluga te standardnu praksu tvrtke po pitanju informiranja korisnika o potvrđenim ranjivostima.

Kada kontaktirati Product Security Incident Response Team (PSIRT)

Kontaktirajte Lenovo Product Security Incident Response Team (PSIRT) slanjem e-pošte na psirt@lenovo.com ukoliko ste identificirali potencijalnu sigurnosnu ranjivost nekog od naših proizvoda. Nakon zaprimanja vašeg izvješća o incidentu kontaktirat će vas odgovarajuće osoblje.

Kako bi se zajamčila povjerljivost, potičemo vas da šifrirate sve osjetljive informacije koje nam šaljete e-poštom. U mogućnosti smo primati poruke šifrirane korištenjem OpenPGP-a. Primjerak našeg javnog ključa koji se može koristiti za slanje šifrirane e-pošte možete naći ovdje.

Adresa psirt@lenovo.com je namijenjena ISKLJUČIVO za prijavu sigurnosnih ranjivosti proizvoda i usluga specifičnih za naše proizvode ili usluge. Za tehničku podršku za naše proizvode ili usluge posjetite www.lenovo.com/support.

Lenovo nastoji potvrditi primitak svih dostavljenih prijava u roku od dva radna dana.

Prijem sigurnosnih informacija od Lenova

Tehničke informacije o sigurnosnim savjetima vezanim uz naše proizvode i usluge objavljuju se na našem mrežnom mjestu posvećenom sigurnosti na adresi www.lenovo.com/product_security/advisories. U većini slučajeva ćemo izdati obavijest kad identificiramo praktično posredno rješenje ili rješenje određene sigurnosne ranjivosti, premda ponekad izdajemo obavijest i kada nema posrednog rješenja ukoliko je ranjivost postala opće poznata u sigurnosnoj zajednici.

Kada treća strana obavijesti Lenovo o mogućoj ranjivosti naših proizvoda, istražit ćemo otkriveno i eventualno objaviti koordiniranu obznanu zajednički s trećom stranom. U pojedinim slučajevima Lenovo može zaprimiti informacije o sigurnosnoj ranjivosti od dobavljača uz ugovor o povjerljivosti ili neotkrivanju. U tim će slučajevima Lenovo surađivati s dobavljačem kako bi zatražio objavu sigurnosnog rješenja, premda možda nećemo biti u mogućnosti pružiti detalje o sigurnosnoj ranjivosti.

Razina opasnosti

Lenovo se pri ocjenjivanju ranjivosti oslanja na standardne najbolje prakse na području kako bi potencijalne posljedice ranjivosti označio kao Visoku, Srednju ili Nisku razinu opasnosti. Ovaj je pristup u skladu s Jedinstvenim sustavom mjerenja ranjivosti (CVSS), koji pruža otvoreni okvir za komunikaciju svojstava i učinaka ranjivosti u IT-u. CVSS omogućuje IT upraviteljima, pružateljima vijesti o ranjivostima, prodavačima sigurnosnih rješenja, prodavačima aplikacija te istraživačima ostvarivanje prednosti usvajanjem zajedničkog jezika pri bodovanju ranjivosti u IT-u.

Opis

Sigurnosni savjeti su napisani kako bi jasno opisali ranjivost, uključujući naziv, uzrok i druge dostupne informacije. Savjeti pružaju informacije o poznatim prijetnjama vezanim uz ranjivost (npr. postojanje mogućnosti zloporabe ili koda koji dokazuje mogućnost, raspravu ili dokaze o incidentnoj aktivnosti). Savjeti također opisuju potencijalne / očekivane posljedice napada korištenjem određene ranjivosti.

Djelovanje na proizvod

Načelno, sigurnosni savjeti uključuju popis Lenovo proizvoda sa statusom Zahvaćeno, Nezahvaćeno ili Istražuje se. Zahvaćeni proizvodi će uključivati poveznicu na rješenje koje je moguće preuzeti s mrežnog mjesta Lenovo podrške (gdje se nalaze sva ažuriranja) ili preporučeno posredno rješenje i/ili predviđeni datum rješavanja. U slučajevima kada je ranjivost specifična za određenu skupinu proizvoda, Lenovo može ponuditi samo popis zahvaćenih proizvoda.  Lenovo povremeno može smatrati nužnim unaprijed objaviti sigurnosni savjet prije dovršetka procjene djelovanja na sve proizvode. U takvim će se slučajevima prikazivati status Istražuje se. Preporučuje se da korisnici posjećuju mrežno mjesto sigurnosnih savjeta kako bi bili u toku po pitanju statusa savjeta.

Rješenje

Za ranjivosti proizvoda, savjeti pružaju informacije o pribavljanju rješenja ili sigurnosne zakrpe. U pojedinim se slučajevima može predložiti posredno rješenje kako bi se pomoglo korisnicima u zaštiti zahvaćenih proizvoda u uporabi operativnim nastojanjem ili ograničavanjem uporabe na neki način bez primjene sigurnosnog rješenja ili zakrpe.

Reference

Ukoliko su dostupne dodatne informacije o ranjivosti, u savjetima će za referencu biti ponuđene poveznice. Ovo uključuje poveznice na CVE ili blog, odnosno citate iz članaka.

Zasluge

U pravilu nastojimo odati priznanje istraživaču ili otkrivatelju ranjivosti te ćemo im, uz njihovo dopuštenje, pripisati zasluge.

Povijest revidiranja

Kad se izvrše ažuriranja savjeta, povijest revidiranja će prikazati što je i kada ažurirano.

Napomena: svi su aspekti ovog procesa podložni izmjenama bez prethodne obavijesti, kao i iznimkama u pojedinim slučajevima. Nije zajamčena određena razina odgovora za bilo koji pojedini problem ili kategoriju problema.

PODIJELI