Skip to Content
Go back
BAS-IP / Sicherheitsrichtlinie

Richtlinie zur Offenlegung von Sicherheitslücken

Allgemeine Informationen

BAS-IP befolgt branchenführende Praktiken im Umgang mit und der Reaktion auf Sicherheitslücken, die in unseren Produkten entdeckt werden. Es ist unmöglich zu garantieren, dass die von unserem Unternehmen bereitgestellten Produkte und Dienstleistungen vollständig frei von Schwachstellen sind. Dies ist keine Besonderheit, sondern eine allgemeine Bedingung für alle Software und Dienstleistungen, aber wir können garantieren, dass wir in allen Phasen der Entwicklung Anstrengungen unternehmen werden, um potenzielle Schwachstellen zu identifizieren und zu beseitigen, wodurch das Risiko, das mit dem Einsatz von BAS-IP Produkten und Dienstleistungen in Kundenumgebungen verbunden ist, reduziert wird.

BAS-IP erkennt an, dass einige Standard-Netzwerkprotokolle und -Dienste inhärente Schwächen aufweisen können, die ausgenutzt werden können. Obwohl BAS-IP nicht für diese Protokolle und Dienste verantwortlich ist, bieten wir Empfehlungen zur Reduzierung von Risiken im Zusammenhang mit BAS-IP Produkten, Software und Dienstleistungen in Form verschiedener Leitfäden.

Was die Richtlinie abdeckt

Die in diesem Dokument beschriebene Richtlinie zum Umgang mit Schwachstellen gilt für alle Produkte, Software und Dienstleistungen der Marke BAS-IP.

Was die Richtlinie nicht abdeckt

Einige Schwachstellen sind nicht durch die BAS-IP Richtlinie zum Umgang mit Schwachstellen abgedeckt. Bitte senden Sie keine Berichte über Schwachstellen, die nicht von der Richtlinie zum Umgang mit Schwachstellen abgedeckt sind, an [email protected]:

  • Schwachstellen, die hohe Privilegien und/oder Social Engineering erfordern, die mit Root-/Administratorzugriff ausgelöst/ausgeführt werden und/oder komplexe Benutzerinteraktion erfordern
  • Subdomain-Übernahme (Subdomain takeover), zum Beispiel die Erlangung der Kontrolle über einen Knoten, der auf einen derzeit ungenutzten Dienst verweist
  • Falsche Benutzerkonfigurationen, die durch Befolgen der BAS-IP-Leitfäden verhindert werden können
  • Schwachstellen in Inhalten oder Anwendungen, die von Drittbenutzern oder Partnern erstellt wurden, wie z. B. Anwendungen, die auf BAS-IP-Geräten heruntergeladen und ausgeführt werden können
  • Cross-Site Request Forgery (CSRF) oder Cross-Site Scripting (XSS) Schwachstellen, die den Benutzer dazu verleiten, eine bösartige Website zu besuchen oder auf einen getarnten Link zu klicken, wenn er auf die Weboberfläche der BAS-IP-Geräte zugreift
  • Open-Source-Schwachstellen Dritter, die mit einer CVE-Kennung registriert sind und sich in Softwarekomponenten oder Paketen befinden, die in BAS-IP Produkten, Software oder Dienstleistungen verwendet werden. Gängige Beispiele für solche Softwarekomponenten sind der Linux-Kernel, OpenSSL, AOSP und andere
  • Fehlen von HTTP(S)-Sicherheits-Headern, wie z. B. X-Frame-Options
  • Schwachstellenberichte, die von Drittanbieter-Netzwerksicherheitsscannern generiert wurden
  • Nicht unterstützte Produkte/Software/Dienstleistungen
  • Netzwerk-Denial-of-Service-Tests (DoS oder DDoS) oder andere Tests, die den Zugriff auf das System oder Daten stören oder diese beschädigen

Verpflichtungen

BAS-IP schätzt und fördert die Bemühungen von Forschern bei der Identifizierung und Meldung von Schwachstellen in BAS-IP Produkten, Software und Dienstleistungen. Im Rahmen des Prozesses der verantwortungsvollen Offenlegung wird das BAS-IP Produktsicherheitsteam nach besten Kräften die Interessen der Forscher durch gegenseitige Zusammenarbeit und Transparenz während des gesamten Offenlegungsprozesses respektieren.

Die BAS-IP Company erwartet, dass Forscher die Schwachstellen erst nach Ablauf der 90-tägigen Frist oder einem mutually agreed date (gegenseitig vereinbarten Datum) offenlegen und die Schwachstellenforschung innerhalb der gesetzlichen Grenzen durchführen, ohne Schaden anzurichten, Vertraulichkeit preiszugeben oder die Sicherheit der BAS-IP Company, ihrer Partner und Kunden zu gefährden.

Umgang mit Schwachstellen

Die BAS-IP Company bewertet Schwachstellen unter Verwendung des bekannten CVSS-Bewertungssystems.

Bezüglich Open-Source-Komponenten-Schwachstellen kann BAS-IP die Schwachstelle in Abhängigkeit von ihrer Bedeutung im Kontext der empfohlenen Implementierung ihrer Produkte, Software und Dienstleistungen bewerten. Sicherheitsberatungen werden in der Regel nur für BAS-IP-spezifische Schwachstellen angeboten.

Prioritätsverteilung, wenn eine Schwachstelle bewertet wurde und behoben werden muss:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP ist bestrebt, die Schwachstelle vor oder innerhalb von 4 Wochen nach externer Offenlegung zu beheben. Für Open-Source-Komponenten ist der Zeitrahmen in der Regel länger, da BAS-IP auf externe Parteien für Informationen, Korrekturen und/oder Überprüfung angewiesen ist
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP zielt darauf ab, die Schwachstelle zu beheben, typischerweise innerhalb von 2-3 Monaten
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP plant, die Schwachstelle in der nächsten geplanten Version zu beheben
  • Unterstützte Software/Dienstleistungen
    Die Supportphase der BAS-IP Software/Dienstleistungen wird innerhalb des gesamten Software-Lebenszyklusprozesses festgelegt. BAS-IP Software/Dienstleistungen werden in der Regel 1 Jahr nach der Ankündigung des End-of-Life (Ende des Produktlebenszyklus) unterstützt.

Meldung einer Schwachstelle

BAS-IP arbeitet ständig daran, die mit Schwachstellen in unseren Produkten verbundenen Risiken zu identifizieren und zu mindern. Wenn Sie jedoch eine Schwachstelle im Sicherheitssystem entdeckt haben, die mit einem Produkt, einer Software oder einem Dienst von BAS-IP zusammenhängt, empfehlen wir dringend, dass Sie das Problem unverzüglich melden. Die rechtzeitige Meldung von Sicherheitssystem-Schwachstellen ist entscheidend, um die Wahrscheinlichkeit ihrer praktischen Nutzung zu verringern. Sicherheitslücken im Zusammenhang mit Open-Source-Softwarekomponenten sollten direkt der verantwortlichen Organisation gemeldet werden.

Endbenutzer, Partner, Lieferanten, Industriegruppen und unabhängige Forscher, die eine potenzielle Schwachstelle entdeckt haben, werden ermutigt, ihre Erkenntnisse an [email protected] zu melden oder ein anonymes Formular auszufüllen.

Der eingereichte Bericht sollte Folgendes enthalten:

  • Technische Informationen über die potenzielle Schwachstelle
  • Schritte zur Reproduktion
  • Geschätzte Auswirkung und Schwere bei Ausnutzung gemäß CVSS 3.1
  • Die eigene Richtlinie des Forschers zur Offenlegung von Schwachstellen, falls vorhanden

Sie können von der BAS-IP Company Folgendes erwarten:

  • Zeit bis zur ersten Antwort — innerhalb von 3 Werktagen nach Erhalt der ersten Nachricht
  • Bearbeitungszeit (ab dem Zeitpunkt des Erhalts der ersten Antwort) — innerhalb von 10 Werktagen
  • Wir werden so transparent wie möglich über die Schritte sein, die wir im Behebungsprozess unternehmen, einschließlich Fragen und Problemen, die die Lösung verzögern könnten
  • Wir werden einen offenen Dialog zur Diskussion von Problemen führen

Offenlegung von Schwachstellen

Sobald der Bericht über eine entdeckte Schwachstelle geprüft und als echt bestätigt wurde, beginnt BAS-IP den Prozess der verantwortungsvollen Offenlegung. BAS-IP ist bestrebt, mit dem Forscher bezüglich weiterer Details zusammenzuarbeiten, wie z. B. der CVSS 3.1-Bewertung, dem Inhalt der Sicherheitsempfehlung und/oder Pressemitteilungen (falls zutreffend) sowie dem Datum der externen Offenlegung.

Nach einer Einigung zwischen der BAS-IP Company und dem Forscher wird die Schwachstelle für externe Zwecke durch die Veröffentlichung von Sicherheitsempfehlungen und/oder einer Pressemitteilung durch die BAS-IP Company offengelegt.

Dokumentenänderungsverlauf

VersionDatumBeschreibung
1.015.02.2024Erstveröffentlichung