
Обнаружение уязвимостей безопасности продуктов OMICRON и их устранение
Компания OMICRON с максимальной ответственностью подходит к проблемам уязвимостей, которые могут затронуть наши продукты, и мы ценим и приветствуем любые отзывы пользователей, которые помогают нам улучшить их защиту. Для этого мы внедрили системный подход к выявлению уязвимостей и работе по их устранению.
Координированное уведомление
Мы осознаём нашу ответственность за соответствие повышающемуся уровню кибербезопасности, особенно в критически важных инфраструктурах. Поэтому ниже, в разделе «Предупреждения о безопасности», мы уведомляем наших клиентов о подтвержденных случаях уязвимостей, влияющих на работу наших продуктов. Однако во избежание необоснованных рисков для наших клиентов мы просим всех, кто обнаружил уязвимость, не разглашать этого, пока не предпримем надлежащие меры по ее устранению.
Отдел Product Security Team в OMICRON
Компания OMICRON создала специальный отдел Product Security Team. Его сотрудники отвечают за работу с проблемами безопасности и последующее уведомление. Наши специалисты будут рады помочь с решением любых вопросов, касающихся уязвимости продукции OMICRON. По возможности пользуйтесь шифрованной электронной почтой.
product-security@omicronenergy.com
Открытый ключ PGP4,90 kB
Отпечаток пальца: 90F2 6F91 6186 22EA AFF1 06A0 F014 F4B8 C72E C818
Процедуры обработки и уведомления о уязвимостях

Для надежной и эффективной обработки серьезных проблем безопасности и оглашения о них мы разработали комплексный системный подход. Ниже даны подробные сведения о каждом этапе этого процесса.

1. Отчеты
Мы просим всех пользователей сообщать о проблемах безопасности, затрагивающих продукты OMICRON.
Мы обеспечиваем конфиденциальность и не публикуем предоставленную вами информацию без вашего согласия.
Сведения о выявленной проблеме можно передать анонимно, но по желанию пользователя мы можем упомянуть нашедшего уязвимость в разделе сообщений о безопасности.
Чтобы сообщить о проблеме, обратитесь в указанный выше отдел Product Security Team. Расскажите о проблеме максимально подробно, включив в отчет следующую информацию:
- затронутый продукт OMICRON с указанием точной версии;
- подробное описание проблемы;
- по возможности приложите код эксплойта или пошаговый способ поиска уязвимости;
- ваши намерения относительно публичного оглашения о выявленной уязвимости.

2. Анализ
После получения отчета мы приступим к комплексному анализу проблемы безопасности. Цель — воспроизвести проблему и определить основную причину ее возникновения.

3. Оценка
После завершения анализа проблемы мы выполним оценку вероятности ее возникновения и потенциальные последствия для наших клиентов.

4. Устранение
По результатам оценки мы сможем определить дальнейшие меры по устранению проблемы. Такие меры могут включать в себя предоставление исправления программного кода для затронутых заказчиков и, следовательно, плановое оглашение об уязвимости.

5. Обнаружение
Мы осознаем уровень ответственности и важности информирования клиентов о выявленных уязвимостях безопасности продукции OMICRON во избежание возможного ущерба. Поэтому мы серьезно относимся к любой проблеме безопасности и информируем о ней всех затронутых клиентов.
Мы публикуем следующие сведения о выявленной проблеме:
- описание уязвимости;
- затронутые продукты OMICRON с указанием точных версий;
- балл по системе оценки уязвимости (CVSS);
- запись из общего перечня уязвимых участков и рисков (CVE) (если применимо);
- меры, необходимые для устранения уязвимости;
- благодарности (по желанию пользователя, обнаружившего уязвимость).
Предупреждения о безопасности
Ниже вы можете увидеть все выявленные и опубликованные предупреждения о безопасности.
ID | Название | Затронутые продукты | Идентификатор CVE | Балл по системе оценки уязвимости (CVSS) | Последнее обновление | Скачать |
---|---|---|---|---|---|---|
OSA-12 | 3rd Party Vulnerabilities in CM-Line, CMS 356 and ARCO 400 embedded image versions | CMC 256plus, CMC 353, CMC 430, CMC 356, CMC 850, ARCO 400 |
CVE-2024-26659 |
7.4 | 2025-01-29 | |
OSA-11 | 3rd Party Vulnerabilities affecting StationScout | StationScout 3.00 |
CVE-2024-26921 |
8.1 | 2024-11-25 | |
OSA-10 | 3rd Party Vulnerabilities affecting StationGuard and StationScout | StationScout 2.40, StationGuard before 2.40 |
CVE-2023-6237 |
5.3 | 2024-05-27 | |
OSA-9 | 3rd Party Vulnerabilities in CM-Line, CMS 356 and ARCO 400 embedded image versions | CMC 256plus, CMC 353, CMC 430, CMS 356, CMC 850, ARCO 400 with Images before v2.63 |
CVE-1999-0517 |
7.5 | 2024-03-29 | |
OSA-8 | Linux Kernel Vulnerability in IGB Driver affecting StationGuard and StationScout | StationGuard Image 2.10.0073, 2.20.0080, 2.21.0081, StationScout StationScout Image 2.10.0059, 2.20.0063, 2.21.0064 | CVE-2023-45871 | 9.8 | 2023-11-22 | |
OSA-7 | 3rd Party Vulnerabilities affecting StationGuard and StationScout | StationGuard < 2.30, StationScout < 2.30 |
CVE-2023-23919 |
7.5 | 2023-11-22 | |
OSA-6 | Incorrect Authorization Vulnerability in StationScout and StationGuard | StationGuard StationGuard Image 1.10.0056 - 2.20.0080, StationScout StationScout Image 1.30.0040 - 2.20.0063 | CVE-2023-28611 | 10 | 2023-11-22 | |
OSA-5 | Vulnerability in Update Process of StationScout and StationGuard < 2.21 | StationGuard StationGuard Image all before 2.20.0080, StationScout StationScout Image all before 2.20.0063 | CVE-2023-28610 | 10 | 2023-11-22 | |
OSA-4 | 3rd Party Vulnerabilities affecting StationGuard and StationScout < 2.20 | StationGuard < 2.20, StationScout < 2.20 |
CVE-2018-25032 |
7.5 | 2023-11-22 | |
OSA-3 | 3rd Party Vulnerabilities affecting StationGuard image < 2.00 | StationGuard StationGuard Image all before 1.10.0056 |
CVE-2021-37701 |
5 | 2023-11-22 | |
OSA-2 | Multiple 3rd Party Denial-of-Service Vulnerabilities in StationGuard and StationScout < 2.0 | StationGuard StationGuard Image all before 1.10.0056, StationScout StationScout Image all before 1.30.0040 |
CVE-2020-8265 |
8.1 | 2022-11-22 | |
OSA-1 | Denial-of-Service Vulnerability in StationGuard 1.0 | StationGuard StationGuard Image 1.00.0048 | CVE-2021-30464 | 7.5 | 2022-11-22 |
оставаться в курсе
Ниже вы можете найти наши RSS-каналы для конкретных продуктов, чтобы быть в курсе новых или обновленных рекомендаций по безопасности. Просто выберите нужный продукт, чтобы получить соответствующую ссылку RSS, которую можно интегрировать в программу считывания RSS по вашему выбору.