¿Cómo debemos anunciar las vulnerabilidades en nuestra aplicación?

3

He preguntado acerca de las notas de la versión de seguridad Consideraciones para las notas de la versión de seguridad

Necesito una aclaración adicional sobre el anuncio de vulnerabilidades de seguridad. Creamos una versión importante de nuestro producto cada medio año y versiones de seguridad o mantenimiento cada mes. Nuestro producto es una aplicación web Java que se ejecuta en Apache y Tomcat.

  • ¿Cómo debemos anunciar las vulnerabilidades de seguridad? ¿Deberíamos agregar nuestra compañía como proveedor a la base de datos de CVE enlace (como Apache) y crear un nuevo CVE cada vez que lo encontremos? ¿O es suficiente para enumerar nuestro número de error interno?
  • ¿Deberíamos agregar a la base de datos CVE solo las vulnerabilidades descubiertas por nuestros clientes? ¿O deberíamos agregar a la base de datos CVE también las vulnerabilidades descubiertas por el control de calidad?
pregunta Michael 25.12.2013 - 04:57
fuente

2 respuestas

2

Debería anunciar todas las vulnerabilidades que cree que existen a sus clientes, a medida que libera parches para ellos. Puede anunciarlos públicamente y emitir un CVE para mejorar la transparencia y permitir a los auditores corroborar más fácilmente la necesidad de actualizar el software, pero generalmente debe embargarlos durante un período de tiempo después de que se emita el parche (para dar tiempo a los clientes a parchear) .

Cuando los anuncies, es mejor hacerlo sin incluir demasiados detalles; No incluye un PoC (Prueba de concepto). A menudo, es suficiente nombrar la funcionalidad general que se está explotando (como el análisis del archivo de configuración, o una característica particular en la que reside el error), la clase de error y el error que obtiene un atacante.

Debes tener en cuenta lo que intentas lograr al revelar. Desea demostrar que está solucionando errores de seguridad por encima del tablero y notificar a sus usuarios de su existencia, y desviarse de su responsabilidad potencial asegurándose de que cualquier profesional de seguridad razonable esté al tanto de sus errores y la necesidad de parchear versiones particulares. No desea dar a los atacantes municiones adicionales contra sus clientes.

Por lo tanto, es probable que deba anunciar los errores encontrados por sus clientes y soporte, así como los encontrados por QA, pero solo después de parchearlos. Realmente no importa si ves que un atacante tiene el error; Si su software es importante, es probable que las personas desagradables tengan muchos errores que usted no conoce, ya que el estado de ánimo actual es mantener al menos algunos en reserva en caso de que quiera hacer algo (en lugar de eliminar todos sus errores tan pronto como sea posible). ya que se encuentran para agregar a su botnet o lo que sea).

En pocas palabras, publique todo, pero asegúrese de que sus parches guíen sus anuncios públicos por un período de tiempo razonable, y evite dar detalles que permitan a los escritores de exploits.

    
respondido por el Falcon Momot 26.12.2013 - 08:39
fuente
2

Recomiendo leer las Preguntas frecuentes sobre CVE . En resumen, el sistema CVE se crea para compartir el conocimiento de las vulnerabilidades en el software, hacer un seguimiento de su gravedad y reducir la duplicación de esfuerzos. El propósito fundamental del sistema CVE es notificar a los usuarios que están en peligro y actualizarlos de inmediato.

Es apropiado obtener un CVE para cualquier vulnerabilidad divulgada públicamente que pueda poner en peligro a los usuarios. Un error que se encuentra internamente a través del control de calidad, probablemente no está siendo explotado públicamente, y por lo tanto un CVE probablemente no ayudaría.

Considere ofrecer una lista de correo a sus usuarios para informarles de las actualizaciones relacionadas con la seguridad.

    
respondido por el rook 25.12.2013 - 20:16
fuente

Lea otras preguntas en las etiquetas