EN DE
EN DE
Kontakt

Disclosure Policy

Einleitung

Diese Richtlinie beschreibt, wie RCE Security mit verantwortungsvoller Offenlegung von Schwachstellen gegenüber Herstellern und der Öffentlichkeit umgeht. RCE Security informiert den jeweils zuständigen Hersteller eines betroffenen Produkts oder Dienstes verantwortungsvoll und zeitnah über identifizierte Sicherheitslücken.

Zusammenfassung

Ein Advisory wird unmittelbar veröffentlicht, wenn einer der folgenden Fälle eintritt:

  • Die erste Frist von 10 Arbeitstagen endet ohne Reaktion oder Bestätigung durch den Hersteller.
  • Die finale Frist von 45 Tagen endet.
  • Der Hersteller veröffentlicht ein offizielles Update.
  • Eine dritte Partei veröffentlicht bereits ein Advisory zur gleichen Schwachstelle.
  • Der Hersteller hat auf mehrere vorherige Koordinationsversuche nicht reagiert.
  • Der Hersteller hat in der Vergangenheit die Zusammenarbeit mit uns verweigert.

Disclosure-Prozess

Zum Zeitpunkt der Entdeckung einer Sicherheitslücke kontaktieren wir MITRE oder die zuständige CNA, um eine offizielle CVE-ID zu erhalten. Das erleichtert die Kommunikation und die öffentliche Zuordnung der Schwachstelle.

Der erste Kontaktversuch erfolgt über geeignete Ansprechpartner oder formale Kontaktmöglichkeiten auf der Website des Herstellers. Alternativ nutzen wir gängige Adressen wie security@, support@ oder info@ und übermitteln dort die relevanten technischen Informationen.

Bestätigt ein Hersteller die erste Benachrichtigung nicht innerhalb von fünf Werktagen, versucht RCE Security einen zweiten formalen Kontakt. Erfolgt auch fünf weitere Werktage nach dieser zweiten Nachricht keine Reaktion, kann RCE Security zehn Werktage nach dem ersten Kontakt ein öffentliches Advisory veröffentlichen.

Geht eine Antwort innerhalb dieses Zeitrahmens ein, räumt RCE Security dem Hersteller 45 Tage Zeit ein, um die Schwachstelle durch ein Sicherheitsupdate oder eine andere geeignete Maßnahme zu beheben. Ist der Hersteller am Ende dieser Frist nicht responsiv oder kann keine belastbare Begründung für die ausbleibende Behebung liefern, veröffentlicht RCE Security ein eingeschränktes Advisory inklusive möglicher Mitigations, damit sich die verteidigende Community schützen kann. Fristverlängerungen liegen ausschließlich im Ermessen von RCE Security und werden nur gewährt, wenn der Hersteller eine nachvollziehbare und detaillierte Erklärung liefert.

Kann oder will ein Hersteller eine Schwachstelle nicht beheben, bietet RCE Security an, gemeinsam mit dem Hersteller eine öffentliche Offenlegung inklusive möglicher Workarounds zu koordinieren. Eine Schwachstelle wird in keinem Fall stillgehalten, nur weil ein Hersteller sie nicht adressieren möchte. Um den Prozess transparent zu machen, behalten wir uns vor, eine Zusammenfassung der Kommunikation mit dem Hersteller als Teil des offiziellen Advisories zu veröffentlichen. So kann die Community nachvollziehen, welche Hürden Hersteller bei der Behebung von Sicherheitslücken haben. RCE Security wird stets versuchen, mit Herstellern konstruktiv zusammenzuarbeiten und sicherzustellen, dass technische Details und Schweregrad verstanden werden.

RCE Security veröffentlicht offizielle Security Advisories sowohl auf dieser Website als auch in einem dedizierten GitHub-Repository. Maßgeblich und offiziell sind ausschließlich die Advisories, die auf dieser Website gelistet sind.