Oznamovanie zraniteľností

Národné centrum kybernetickej bezpečnosti SK-CERT publikovalo „Návod na oznamovanie zraniteľností“.

Tento návod slúži ako pomôcka pre bezpečnostných výskumníkov, vývojárov softvéru, výrobcov hardvéru a zariadení, ale aj pre verejnosť. V návode sa uvádza podrobný postup a odporúčané kroky pri oznamovaní novo objavených zraniteľností, ale aj postup pri oznamovaní už existujúcich zraniteľností nájdených na prevádzkovaných systémoch a službách

Tento dokument vznikol s podporou Národného centra kybernetickej bezpečnosti Holandska, ktoré vydalo niekoľko dokumentov ku koordinovanému oznamovaniu zraniteľností. Tieto dokumenty sú dostupné na adrese:

https://english.ncsc.nl/publications/publications/2019/juni/01/coordinated-vulnerability-disclosure-the-guideline

Ak chcete oznámiť zraniteľnosť, prosím napíšte na e-mailovú adresu [email protected]. V oznámení uveďte najmä:

na akom produkte sa zraniteľnosť nachádza,
akým spôsobom ste sa o zraniteľnosti dozvedeli,
kedy sa o zraniteľnosti dozvedeli,
na akej verzii produktu sa zraniteľnosť nachádza, prípadne aká konfigurácia produktu je zraniteľná,
hodnotenie zraniteľnosti (odporúčané je pomocou CVSS),
čo najdetailnejší popis zraniteľnosti,
spôsob, akým sa dá zraniteľnosť zneužiť (proof-of-concept),
čo môže zraniteľnosť spôsobiť,
či už ste zraniteľnosť nahlásili výrobcovi produktu,
či už ste žiadali o pridelenie CVE čísla (Národné centrum kybernetickej bezpečnosti SK-CERT je CVE číslovacia autorita a môže požiadať o priradenie CVE),
kontaktné informácie vrátane možností bezpečnej komunikácie (PGP fingerprint a pod.),
iné dôležité informácie, súvisiace so zraniteľnosťou.

Pre zabezpečenú komunikáciu použite náš PGP verejný kľúč, uvedený v Kontaktoch.

Dátum prvého zverejnenia 04. 10. 2019. Posledná aktualizácia 11. 10. 2022 15:08

Oznamovanie zraniteľností

SK-CERT Bezpečnostné varovanie V20230131-03

SK-CERT Bezpečnostné varovanie V20230131-02

SK-CERT Bezpečnostné varovanie V20230131-01