Chính sách công bố lỗ hổng bảo mật
Lenovo cam kết cung cấp sản phẩm và dịch vụ an toàn và bảo mật. Khi phát hiện có lỗ hổng, chúng tôi nỗ lực hết sức để giải quyết chúng. Tài liệu này mô tả chính sách của Lenovo cho quy trình nhận báo cáo liên quan tới các lỗ hổng bảo mật tiềm ẩn trong sản phẩm và dịch vụ của chúng tôi và biện pháp thực hành tiêu chuẩn của công ty liên quan đến việc thông báo cho khách hàng về các lỗ hổng đã được xác nhận.
Khi nào nên liên hệ với Nhóm ứng phó giải quyết sự cố bảo mật sản phẩm (PSIRT)
Liên hệ với Nhóm ứng phó giải quyết sự cố bảo mật sản phẩm (PSIRT) bằng cách gửi email tới địa chỉ psirt@lenovo.com nếu bạn nhận thấy lỗ hổng bảo mật tiềm ẩn với một trong các sản phẩm của chúng tôi. Sau khi nhận được báo cáo sự cố của bạn, nhân viên thích hợp sẽ liên hệ với bạn để theo dõi sự việc.
Để đảm bảo bí mật, chúng tôi khuyên bạn nên mã hóa bất kỳ thông tin nhạy cảm nào bạn gửi đến chúng tôi qua email. Chúng tôi có thể nhận được thư được mã hóa bằng cách sử dụng OpenPGP. Một bản sao mã khóa công khai của chúng tôi có thể được sử dụng để gửi email mã hóa có thể tìm thấy tại đây.
Địa chỉ email psirt@lenovo.com CHỈ nhằm mục đích bảo cáo lỗ hổng bảo mật của sản phẩm hoặc dịch vụ cụ thể cho sản phẩm hoặc dịch vụ của chúng tôi. Để biết thông tin hỗ trợ kỹ thuật về sản phẩm hoặc dịch vụ của chúng tôi, vui lòng truy cập trang www.lenovo.com/support.
Lenovo sẽ cố gắng xác nhận việc nhận được tất cả các báo cáo đã gửi trong vòng hai ngày làm việc.
Nhận thông tin bảo mật từ Lenovo
Thông tin kỹ thuật về các tư vấn bảo mật liên quan đến sản phẩm và dịch vụ của chúng tôi được đăng trên trang web bảo mật tại www.lenovo.com/product_security/advisories. Trong hầu hết các trường hợp, chúng tôi sẽ đưa ra thông báo khi chúng tôi xác định được cách giải quyết khả thi hoặc bản sửa lỗi cho lỗ hổng bảo mật cụ thể, mặc dù có thể có những trường hợp chúng tôi đưa ra thông báo về việc chưa có biện pháp khắc phục khi lỗ hổng đã được biết rộng rãi đối với cộng đồng bảo mật.
Khi Lenovo được bên thứ ba thông báo về một lỗ hổng tiềm ẩn được phát hiện trong sản phẩm của chúng tôi, chúng tôi sẽ điều tra phát hiện đó và có thể đưa ra công bố công khai với sự phối hợp của bên thứ ba. Trong một số trường hợp, Lenovo có thể nhận được thông tin về lỗ hổng bảo mật từ nhà cung cấp theo thỏa thuận đảm bảo bí mật hoặc không tiết lộ công khai. Trong những trường hợp này, Lenovo sẽ phối hợp với nhà cung cấp để yêu cầu phát hành bản sửa lỗi bảo mật mặc dù chúng tôi không thể cung cấp thông tin chi tiết về lỗ hổng bảo mật này.
Mức độ nghiêm trọng
Trong việc tính điểm hoặc xếp hạng các lỗ hổng bảo mật, Lenovo tuân theo các biện pháp thực hành tốt nhất theo tiêu chuẩn ngành để chỉ ra ảnh hưởng tiềm ẩn của lỗ hổng đó là Cao, Trung bình hay Thấp. Phương pháp tiếp cận này tuân theo Hệ thống tính điểm lỗ hổng bảo mật chung (CVSS, cung cấp một khung chương trình mở để giao tiếp về các đặc điểm và tác động của các lỗ hổng bảo mật trong CNTT. CVSS cho phép tất cả các giám đốc CNTT, nhà cung cấp bản tin về lỗ hổng bảo mật, nhà cung cấp bảo mật, nhà cung cấp ứng dụng và nhà nghiên cứu được hưởng lợi từ việc chấp nhận một ngôn ngữ tính điểm lỗ hổng CNTT chung.
Mô tả
Tư vấn bảo mật được viết để giải thích rõ ràng về lỗ hổng bảo mật, bao gồm tên, nguyên nhân và thông tin có sẵn khác. Tư vấn cung cấp thông tin về các mối đe dọa đã biết liên quan đến lỗ hổng bảo mật (ví dụ: sự tồn tại của mã khai thác hoặc mã chứng minh khái niệm, thảo luận hoặc bằng chứng hoạt động của sự cố). Tư vấn cũng mô tả hậu quả tiềm năng/dự kiến của các cuộc tấn công vào lỗ hổng.
Tác động đối với sản phẩm
Nhìn chung, tư vấn bảo mật bao gồm danh sách sản phẩm của Lenovo với trạng thái là Bị ảnh hưởng, Không bị ảnh hưởng hoặc Đang nghiên cứu. Sản phẩm bị ảnh hưởng sẽ bao gồm liên kết đến bản sửa lỗi có thể tải xuống từ trang web Hỗ trợ của Lenovo (tại đó có lưu giữ tất cả các bản cập nhật) hoặc biện pháp khắc phục được khuyên dùng và/hoặc ngày đưa ra biện pháp sửa chữa dự kiến. Trong trường hợp lỗ hổng là cụ thể cho một nhóm sản phẩm cụ thể, Lenovo chỉ có thể cung cấp danh sách sản phẩm bị ảnh hưởng. Đôi khi, Lenovo có thể thấy cần thiết phải xuất bản tư vấn bảo mật trước khi hoàn thành đánh giá ảnh hưởng trên tất cả sản phẩm. Trong những trường hợp này, trạng thái Đng nghiên cứu sẽ được hiển thị. Khách hàng nên truy cập vào trang web tư vấn bảo mật để cập nhật trạng thái tư vấn.
Giải pháp
Đối với các lỗ hổng bảo mật sản phẩm, tư vấn cung cấp thông tin về cách có được bản sửa lỗi hoặc bản vá bảo mật. Trong một số trường hợp, biện pháp khắc phục có thể được khuyến cáo để giúp khách hàng bảo vệ sản phẩm bị ảnh hưởng đang sử dụng thông qua nỗ lực bằng thao tác hoặc bằng cách giới hạn sử dụng theo một số cách mà không cần áp dụng bản sửa lỗi hoặc bản vá bảo mật.
Tài liệu tham khảo
Nếu có thông tin thêm về lỗ hổng bảo mật, tư vấn sẽ cung cấp liên kết dưới dạng tài liệu tham khảo. Điều này bao gồm liên kết đến các trích dẫn CVE, blog hoặc bài viết.
Xác nhận
Thông thường, chúng tôi dự kiến sẽ xác nhận với người nghiên cứu hoặc người phát hiện lỗ hổng và với sự cho phép của họ, sẽ trả cho người phát hiện một khoản ghi nhận.
Lịch sử sửa đổi
Khi có thông tin tư vấn cập nhật, lịch sử sửa đổi sẽ thể hiện nội dung cập nhật và thời gian cập nhật.
Lưu ý: tất cả các khía cạnh của quy trình này đều có thể thay đổi mà không cần thông báo, cũng như có thể có các trường hợp ngoại lệ cụ thể. Không có cấp phản hồi cụ thể nào được đảm bảo cho kỳ vấn đề hoặc loại vấn đề cụ thể nào.
