Oznamovanie zraniteľností

Národné centrum kybernetickej bezpečnosti SK-CERT publikovalo „Návod na oznamovanie zraniteľností“.

Tento návod slúži ako pomôcka pre bezpečnostných výskumníkov, vývojárov softvéru, výrobcov hardvéru a zariadení, ale aj pre verejnosť. V návode sa uvádza podrobný postup a odporúčané kroky pri oznamovaní novo objavených zraniteľností, ale aj postup pri oznamovaní už existujúcich zraniteľností nájdených na prevádzkovaných systémoch a službách

Tento dokument vznikol s podporou Národného centra kybernetickej bezpečnosti Holandska, ktoré vydalo niekoľko dokumentov ku koordinovanému oznamovaniu zraniteľností. Tieto dokumenty sú dostupné na adrese:

https://english.ncsc.nl/publications/publications/2019/juni/01/coordinated-vulnerability-disclosure-the-guideline

Oznámenie zraniteľnosti

Ak chcete oznámiť zraniteľnosť, prosím napíšte na e-mailovú adresu [email protected]. V oznámení uveďte najmä:

  • na akom produkte sa zraniteľnosť nachádza,
  • akým spôsobom ste sa o zraniteľnosti dozvedeli,
  • kedy sa o zraniteľnosti dozvedeli,
  • na akej verzii produktu sa zraniteľnosť nachádza, prípadne aká konfigurácia produktu je zraniteľná,
  • hodnotenie zraniteľnosti (odporúčané je pomocou CVSS),
  • čo najdetailnejší popis zraniteľnosti,
  • spôsob, akým sa dá zraniteľnosť zneužiť (proof-of-concept),
  • čo môže zraniteľnosť spôsobiť,
  • ako možno zraniteľnosť opraviť,
  • kontaktné informácie vrátane možností bezpečnej komunikácie (PGP fingerprint a pod.),
  • iné dôležité informácie.

Pre zabezpečenú komunikáciu použite náš PGP verejný kľúč, uvedený v Kontaktoch.