Manejo y divulgación de la vulnerabilidad de la seguridad de los productos de OMICRON
OMICRON se toma muy en serio cualquier tipo de problema de vulnerabilidad que afecte a nuestros productos y agradecemos todos los informes que puedan ayudarnos a mejorar su seguridad. Por ello, hemos establecido un proceso sistemático para recibir, manejar y divulgar dichas vulnerabilidades.
Divulgación coordinada
Somos conscientes de nuestra responsabilidad de contribuir a un mayor nivel de ciberseguridad, especialmente en el ámbito de las infraestructuras críticas. Por lo tanto, queremos informar a nuestros clientes sobre las vulnerabilidades reconocidas que afectan a nuestros productos en nuestra sección de consultorio de seguridad a continuación. Sin embargo, para evitar riesgos innecesarios a nuestros clientes, animamos a cualquiera que detecte una vulnerabilidad a no hacer pública la información hasta que hayamos evaluado las opciones de resolución apropiadas.
Equipo de seguridad de productos de OMICRON
En OMICRON, tenemos un equipo dedicado a la seguridad de los productos, responsable de gestionar los problemas de seguridad y de tomar medidas de divulgación. Estarán encantados de ayudarle con cualquier pregunta relacionada con las vulnerabilidades de los productos de OMICRON. Si es posible, utilice la comunicación por correo electrónico cifrada.
product-security@omicronenergy.com
Clave pública PGP4,90 kB
Huella: 90F2 6F91 6186 22EA AFF1 06A0 F014 F4B8 C72E C818
Manejo de la vulnerabilidad y proceso de divulgación
Para garantizar un manejo y una divulgación confiables y eficientes de los problemas de seguridad, hemos establecido un proceso amplio y sistemático. A continuación, damos más detalles sobre cada etapa del proceso.
1. Informe
Invitamos a todos a informar de los problemas de seguridad que afectan a los productos de OMICRON.
Respetamos su privacidad y no publicaremos ninguna información sobre usted sin su consentimiento explícito.
Es posible enviar un problema de seguridad identificado de forma anónima, pero si lo desea, le daremos crédito por encontrar un problema de vulnerabilidad en nuestro consultorio de seguridad.
Para informar de un problema de vulnerabilidad, póngase en contacto con el equipo de seguridad de productos indicado anteriormente. Aporte tantos detalles como sea posible cuando informe de un problema de seguridad e incluya la siguiente información en su informe:
- Producto de OMICRON afectado incluyendo la versión detallada
- Descripción detallada del problema de vulnerabilidad
- Si es posible, adjunte el código de vulnerabilidad disponible o un proceso paso a paso para encontrar la vulnerabilidad
- ¿Tienen previsto divulgar públicamente la vulnerabilidad?
2. Análisis
Una vez que recibamos su informe, iniciaremos un análisis exhaustivo del problema de seguridad. Nuestro objetivo es reproducir el problema e identificar su causa principal.
3. Evaluación
Tan pronto como finalicemos el análisis del problema de seguridad, procederemos a la evaluación de la probabilidad de que ocurra y el impacto potencial para nuestros clientes.
4. Tratamiento
En función de la evaluación, podemos derivar otras medidas de tratamiento. Esto puede incluir suministrar un parche a los clientes afectados y, en consecuencia, una divulgación estructurada de la vulnerabilidad.
5. Divulgación
Somos conscientes de nuestra responsabilidad y de la importancia de informar a los clientes afectados sobre los problemas de vulnerabilidad que afectan a los productos de OMICRON para evitar daños y perjuicios. Por lo tanto, todo problema de seguridad se toma en serio y los clientes afectados serán informados.
Publicaremos la siguiente información de divulgación:
- Descripción de la vulnerabilidad
- Los productos OMICRON afectados, incluyendo la versión detallada
- Puntuación CVSS
- Entrada de CVE (si procede)
- Medidas necesarias para remediar la vulnerabilidad
- Créditos (si lo desea el descubridor)
Consultorio de seguridad
ID | Título | Productos afectados | ID CVE | Puntuación CVSS | Última actualización | Descargar |
---|---|---|---|---|---|---|
OSA-11 | 3rd Party Vulnerabilities affecting StationScout | StationScout 3.00 |
CVE-2024-26921 |
8.1 | 2024-11-25 | |
OSA-10 | 3rd Party Vulnerabilities affecting StationGuard and StationScout | StationScout 2.40, StationGuard before 2.40 |
CVE-2023-6237 |
5.3 | 2024-05-27 | |
OSA-9 | 3rd Party Vulnerabilities in CM-Line, CMS 356 and ARCO 400 embedded image versions | CMC 256plus, CMC 353, CMC 430, CMS 356, CMC 850, ARCO 400 with Images before v2.63 |
CVE-1999-0517 |
7.5 | 2024-03-29 | |
OSA-8 | Linux Kernel Vulnerability in IGB Driver affecting StationGuard and StationScout | StationGuard Image 2.10.0073, 2.20.0080, 2.21.0081, StationScout StationScout Image 2.10.0059, 2.20.0063, 2.21.0064 | CVE-2023-45871 | 9.8 | 2023-11-22 | |
OSA-7 | 3rd Party Vulnerabilities affecting StationGuard and StationScout | StationGuard < 2.30, StationScout < 2.30 |
CVE-2023-23919 |
7.5 | 2023-11-22 | |
OSA-6 | Incorrect Authorization Vulnerability in StationScout and StationGuard | StationGuard StationGuard Image 1.10.0056 - 2.20.0080, StationScout StationScout Image 1.30.0040 - 2.20.0063 | CVE-2023-28611 | 10 | 2023-11-22 | |
OSA-5 | Vulnerability in Update Process of StationScout and StationGuard < 2.21 | StationGuard StationGuard Image all before 2.20.0080, StationScout StationScout Image all before 2.20.0063 | CVE-2023-28610 | 10 | 2023-11-22 | |
OSA-4 | 3rd Party Vulnerabilities affecting StationGuard and StationScout < 2.20 | StationGuard < 2.20, StationScout < 2.20 |
CVE-2018-25032 |
7.5 | 2023-11-22 | |
OSA-3 | 3rd Party Vulnerabilities affecting StationGuard image < 2.00 | StationGuard StationGuard Image all before 1.10.0056 |
CVE-2021-37701 |
5 | 2023-11-22 | |
OSA-2 | Multiple 3rd Party Denial-of-Service Vulnerabilities in StationGuard and StationScout < 2.0 | StationGuard StationGuard Image all before 1.10.0056, StationScout StationScout Image all before 1.30.0040 |
CVE-2020-8265 |
8.1 | 2022-11-22 | |
OSA-1 | Denial-of-Service Vulnerability in StationGuard 1.0 | StationGuard StationGuard Image 1.00.0048 | CVE-2021-30464 | 7.5 | 2022-11-22 |
Manténgase informado
A continuación, puede encontrar nuestros canales RSS específicos de productos para mantenerse informado sobre avisos de seguridad nuevos o actualizados. Simplemente seleccione el producto deseado para recibir el enlace RSS correspondiente que se puede integrar en un lector de RSS de su elección.