Traitement et communication des vulnérabilités des produits OMICRON
OMICRON prend très au sérieux les problèmes de vulnérabilité affectant nos produits, et nous apprécions et acceptons tous les rapports pouvant nous aider à améliorer leur sécurité. C’est pourquoi nous avons mis en place une approche systématique en matière de réception, de traitement et de communication de telles vulnérabilités.
Communication coordonnée
Nous sommes conscients de notre responsabilité dans l’amélioration du niveau de cybersécurité, notamment en ce qui concerne les infrastructures complexes. Nous tenons donc à informer nos clients des vulnérabilités validées et pertinentes affectant nos produits, dans la section Conseils en matière de sécurité ci-dessous. Néanmoins, pour prévenir tout risque inutile pour nos clients, nous encourageons quiconque détecterait une vulnérabilité à ne pas publier l’information avant que nous ayons évalué les options appropriées pour y remédier.
OMICRON Product Security Team
Chez OMICRON, nous avons une équipe dédiée à la sécurité des produits (Product Security Team), responsable de la gestion des problèmes de sécurité et de la prise des mesures de communication ultérieures. Leurs membres sont ravis de répondre à toute question relative à la vulnérabilité des produits OMICRON. Dans la mesure du possible, favorisez la communication par e-mails cryptés.
security@omicronenergy.com
Clé PGP publique3,14 kB
Empreinte digitale: 90F2 6F91 6186 22EA AFF1 06A0 F014 F4B8 C72E C818
Traitement des vulnérabilités et processus de communication
Pour garantir un traitement et une communication fiables et efficaces des problèmes de sécurité, nous avons mis en place un processus systématique complet. Vous trouverez ci-après le détail de chaque étape de ce processus.
1. Rapport
Nous invitons quiconque à signaler les problèmes de sécurité affectant les produits OMICRON.
Nous respectons votre confidentialité et ne publierons aucune information vous concernant sans votre consentement explicite.
Il est possible d’envoyer un problème de sécurité identifié de manière anonyme, mais si vous le souhaitez, nous porterons à votre crédit la détection de ce problème de vulnérabilité dans nos conseils en matière de sécurité.
Pour signaler un problème de vulnérabilité, contactez la Product Security Team susmentionnée. Détaillez au maximum le problème de sécurité, en mentionnant les informations suivantes dans votre rapport :
- Produit OMICRON concerné et version détaillée
- Description détaillée du problème de vulnérabilité
- Si possible, joignez le code d’exploitation disponible ou l’approche, étape par étape, permettant de détecter la vulnérabilité
- Envisagez-vous de rendre la vulnérabilité disponible publiquement ?
2. Analyse
Après réception de votre rapport, nous lancerons une analyse complète du problème de sécurité. Notre objectif est de reproduire le problème et d’identifier sa cause profonde.
3. Évaluation
Une fois l’analyse du problème de sécurité réalisée, nous poursuivrons avec l’évaluation de la probabilité d’occurrence et l’impact potentiel pour nos clients.
4. Traitement
En fonction de l’évaluation, nous pouvons prendre des mesures supplémentaires. Cela peut notamment inclure la fourniture d’un correctif aux clients concernés et, par conséquent, une communication structurée de la vulnérabilité.
5. Communication
Nous sommes conscients de notre responsabilité et de l’importance d’informer les clients concernés des problèmes de vulnérabilité pertinents affectant les produits OMICRON, afin d’empêcher toute conséquence néfaste. C’est pourquoi chaque problème de sécurité est pris au sérieux et que les clients concernés en seront informés.
Nous publierons les informations de communication suivantes :
- Description de la vulnérabilité
- Produits OMICRON concernés et version détaillée
- Score CVSS
- Entrée de la CVE (le cas échéant)
- Étapes nécessaires pour remédier à la vulnérabilité
- Crédits (si la personne ayant détecté le problème le souhaite)
Avis de sécurité
Vous trouverez ci-dessous tous les avis de sécurité qui ont été trouvés et publiés entre-temps.
| ID | Titre | Produits concernés | ID CVE | Score CVSS | Dernière mise à jour | Télécharger |
|---|---|---|---|---|---|---|
OSA-8 | Linux Kernel Vulnerability in IGB Driver affecting StationGuard and StationScout | StationGuard Image 2.10.0073, 2.20.0080, 2.21.0081, StationScout StationScout Image 2.10.0059, 2.20.0063, 2.21.0064 | CVE-2023-45871 | 9.8 | 2023-11-06 | |
OSA-7 | 3rd Party Vulnerabilities affecting StationGuard and StationScout | StationGuard < 2.30, StationScout < 2.30 | CVE-2023-23919 | 7.5 | 2023-10-01 | |
OSA-6 | Incorrect Authorization Vulnerability in StationScout and StationGuard | StationGuard StationGuard Image 1.10.0056 - 2.20.0080, StationScout StationScout Image 1.30.0040 - 2.20.0063 | CVE-2023-28611 | 10 | 2023-11-22 | |
OSA-5 | Vulnerability in Update Process of StationScout and StationGuard < 2.21 | StationGuard StationGuard Image all before 2.20.0080, StationScout StationScout Image all before 2.20.0063 | CVE-2023-28610 | 10 | 2023-11-22 | |
OSA-4 | 3rd Party Vulnerabilities affecting StationGuard and StationScout < 2.20 | StationGuard < 2.20, StationScout < 2.20 | CVE-2018-25032 | 7.5 | 2023-11-22 | |
OSA-3 | 3rd Party Vulnerabilities affecting StationGuard image < 2.00 | StationGuard StationGuard Image all before 1.10.0056 | CVE-2021-37701 | 5 | 2023-11-22 | |
OSA-2 | Multiple 3rd Party Denial-of-Service Vulnerabilities in StationGuard and StationScout < 2.0 | StationGuard StationGuard Image all before 1.10.0056, StationScout StationScout Image all before 1.30.0040 | CVE-2020-8265 | 8.1 | 2022-11-22 | |
OSA-1 | Denial-of-Service Vulnerability in StationGuard 1.0 | StationGuard StationGuard Image 1.00.0048 | CVE-2021-30464 | 7.5 | 2022-11-22 |
Restez informé
Vous trouverez ci-dessous nos flux RSS spécifiques aux produits pour rester informé des nouveaux avis de sécurité ou des mises à jour. Sélectionnez simplement le produit souhaité pour recevoir le lien RSS correspondant qui peut être intégré dans un lecteur RSS de votre choix