Come dovremmo annunciare vulnerabilità nella nostra applicazione?

3

Ho chiesto informazioni sulle note sulla versione della sicurezza Considerazioni sulle note sulla versione di sicurezza

Ho bisogno di ulteriori chiarimenti sull'annuncio delle vulnerabilità della sicurezza. Creiamo ogni mese importanti release del nostro prodotto su ogni semestre e rilasci di sicurezza o di manutenzione. Il nostro prodotto è Java Web Application che gira su Apache e Tomcat.

  • Come dovremmo annunciare le vulnerabilità della sicurezza? Dovremmo aggiungere la nostra azienda come fornitore al database CVE link (come Apache) e creare un nuovo CVE ogni volta che lo abbiamo trovato? O è sufficiente elencare il nostro numero di bug interno?
  • Dovremmo aggiungere al database CVE solo le vulnerabilità scoperte dai nostri clienti? O dovremmo aggiungere al database CVE anche le vulnerabilità scoperte dal QA?
posta Michael 25.12.2013 - 04:57
fonte

2 risposte

2

Dovresti annunciare tutte le vulnerabilità che ritieni esistano per i tuoi clienti, mentre rilasci le patch per loro. Puoi annunciarli pubblicamente ed emettere un CVE per migliorare la trasparenza e consentire agli auditor di dimostrare più facilmente la necessità di aggiornare il software, ma in genere dovresti embargo per un periodo di tempo dopo che la patch è stata rilasciata (per dare tempo ai tuoi clienti di applicare patch) .

Quando li annunci, è meglio farlo senza includere troppi dettagli; non includere un PoC (Prova del concetto). Spesso è sufficiente nominare la funzionalità generale che viene sfruttata (come l'analisi del file di configurazione, o una caratteristica particolare con cui il bug risiede), la classe di bug e il bug che ottiene un aggressore.

Devi tenere a mente ciò che stai cercando di realizzare rivelando. Volete dimostrare che state correggendo i bug di sicurezza e notificate i vostri utenti della loro esistenza, e spostate la potenziale responsabilità da voi stessi assicurando che qualsiasi professionista della sicurezza ragionevole sia a conoscenza dei vostri bug e della necessità di applicare patch a versioni particolari. Non vuoi dare agli attaccanti ulteriori munizioni contro i tuoi clienti.

Quindi, è probabile che dovresti annunciare bug trovati dai tuoi clienti e supporto, così come quelli trovati dal QA, ma solo dopo averli riparati. Non importa se vedi che un attaccante ha il bug; se il tuo software è importante, è molto probabile che le persone cattive abbiano molti bug che non conosci, poiché l'umore attuale è di riservare almeno un po 'di riserva nel caso in cui tu voglia fare qualcosa (piuttosto che soffiare tutti i tuoi bug al più presto come si trovano ad aggiungere alla tua botnet o qualsiasi altra cosa.

In breve, pubblica tutto, ma assicurati che le tue patch conducano i tuoi annunci pubblici entro un ragionevole periodo di tempo ed eviti di fornire specifiche che consentano agli scrittori di exploit.

    
risposta data 26.12.2013 - 08:39
fonte
2

Raccomando di leggere le domande frequenti su CVE . In breve, il sistema CVE è stato creato per condividere la conoscenza delle vulnerabilità nel software, tenere traccia della loro gravità e ridurre la duplicazione degli sforzi. Lo scopo fondamentale del sistema CVE è di notificare agli utenti che si trovano in pericolo e di aggiornare immediatamente.

È opportuno ottenere un CVE per qualsiasi vulnerabilità divulgata pubblicamente che possa mettere in pericolo gli utenti. Un bug rilevato internamente tramite QA, probabilmente non viene sfruttato pubblicamente, e quindi un CVE probabilmente non sarebbe di aiuto.

Considera di offrire una mailing-list ai tuoi utenti per informarli degli aggiornamenti relativi alla sicurezza.

    
risposta data 25.12.2013 - 20:16
fonte

Leggi altre domande sui tag