Zielsetzung
Diese Richtlinie soll die Standards von Digi für die Reaktion auf bekannte potenzielle Sicherheitsschwachstellen in DAL OS Produkten beschreiben. Sie definiert die Ziele von Digi für die Kommunikation potenzieller Schwachstellen und die Bereitstellung von Lösungen für Kunden.
Umfang
Diese Richtlinie bezieht sich speziell auf Sicherheitsschwachstellen in freigegebenen und unterstützten DAL OS Produkten. Wir definieren eine Sicherheitslücke als eine unbeabsichtigte Schwäche oder einen Fehler in der Hardware, Firmware oder Software, der von einem Bedrohungsagenten ausgenutzt werden kann, um das Netzwerk eines Kunden zu gefährden. Dazu gehören unter anderem alle Methoden, die unbeabsichtigt nicht autorisierte Zugriffsmethoden, Berechtigungen oder Informationen ermöglichen.
Diese Richtlinie gilt nicht für den allgemeinen Support und den Lösungsprozess für nicht sicherheitsrelevante Fehler. Weitere Informationen zu allgemeinen Support-Richtlinien finden Sie unter Support & Helpdesk Ops.
Publikum
Diese Richtlinie ist für Partner und Kunden von Digi bestimmt.
Einführung
DAL OS ist das Standard-Betriebssystem von Digi, das in Enterprise- (EX), Industrie- (IX) und Transport-Routern (TX), Geräte- und seriellen Servern (Connect EZ), Konsolenservern und USB-verbundenen Geräten integriert ist.
Die Produkte von DAL OS sind so konzipiert, dass sie sichere und zuverlässige Bestandteile der Netzwerke unserer Kunden sind. Unsere Produkte enthalten viele Sicherheitsfunktionen wie sicheres Booten, Firewalls, Authentifizierung, Autorisierung und Verschlüsselung. Die Digi Engineering Praktiken verbieten die Einführung von Funktionen, die diese Funktionen umgehen.
Digi welcomes the transparent reporting of vulnerabilities and is committed to resolving them in a timely manner. In addition to reporting by users, Digi actively searches for vulnerabilities through internal testing, static code analysis, independent penetration testing and assessing new CVEs. These may be introduced through an error in design or development or (more commonly) through a vulnerability being discovered in a third-party library integrated into DAL OS firmware or software. The vulnerabilities may be discovered through DAL OS testing, reported publicly as a Common Vulnerability and Exposure (CVE), or discovered by an independent security assessment, a customer, or another party.
Die Politik von Digi besteht darin, die Auswirkungen aller gemeldeten Schwachstellen schnell zu bewerten. Sobald die Schwachstelle nach dem Common Vulnerability Scoring System (CVSS 3.0) bewertet wurde, werden die Details der Schwachstelle, ihre Auswirkungen und der Zeitplan für die Behebung für Kunden und Partner öffentlich zugänglich gemacht.
Meldung potenzieller Schwachstellen
Kunden oder Partner, bei denen ein Sicherheitsproblem mit DAL OS Produkten auftritt, werden gebeten, das Problem so schnell wie möglich über das Digi-Sicherheitsformular zu melden. Wenn Sie eine potenzielle Sicherheitslücke melden, geben Sie bitte so viele Informationen wie möglich (einschließlich der CVE-Nummer, falls verfügbar) über die Umstände und die potenziellen Auswirkungen an.
Bewertung potenzieller Schwachstellen
Digi verwendet das Common Vulnerability Scoring System (CVSS 3.0) in Kombination mit den Schweregraden, um neu gemeldete potenzielle Schwachstellen zu bewerten. Der ermittelte CVSS-Score spiegelt die potenzielle Sicherheitsbedrohung der Schwachstelle im Zusammenhang mit dem Produktdesign von Digi wider. Das Sicherheits- und Entwicklungsteam von Digi behält sich das Recht vor, den CVSS-Score intern neu zu klassifizieren, um die Wahrscheinlichkeit von Auswirkungen auf unsere Produkte auf der Grundlage von Implementierungsunterschieden zu bestimmen, die ursprünglich vom NIST genannt wurden. Für den Fall, dass ein Verbraucher von Digi-Produkten und -Dienstleistungen Fragen zu den getroffenen Festlegungen hat, kann ein Vektorstring der von Digi ermittelten Punktzahl zur Klärung über eine Supportanfrage an folgende Adresse übermittelt werden Digi-Support
Informationen und Fristen für die Lösung
Der CVSS 3.0-Score wird verwendet, um Prioritäten zu setzen und Ziele für die Kommunikation und Problemlösung wie folgt festzulegen:
| Schweregrad |
CVSS 3.0 |
Auflösung Ziel |
Informationen korrigieren |
| Kritisch |
9.0-10.0 |
Patch-Veröffentlichung innerhalb von 30 Tagen nach Veröffentlichung des Sicherheitshinweises |
Informationen zu den Korrekturen finden Sie in den Versionshinweisen des Patches. |
| Hoch |
7.0-8.9 |
Patch-Veröffentlichung innerhalb von 30 Tagen nach Veröffentlichung des Sicherheitshinweises |
Informationen zu den Korrekturen finden Sie in den Versionshinweisen des Patches. |
| Mittel |
4.0-6.9 |
Nächste größere Veröffentlichung |
Anmerkungen zur Veröffentlichung |
| Kleinere |
N/A |
Zukünftige Veröffentlichung |
Anmerkungen zur Veröffentlichung |
| Keine Verwundbarkeit |
N/A |
N/A |
N/A |
Behebung potenzieller Schwachstellen
Digi nimmt Sicherheitslücken sehr ernst und ist bestrebt, Kunden und Partnern Lösungen für alle derzeit unterstützten Produkte in Übereinstimmung mit den Lösungszielen zur Verfügung zu stellen (um zu überprüfen, welche Produkte nicht mehr unterstützt werden, besuchen Sie bitte das Digi-Kundenportal, wo Sie eine Liste der PCNs und EOL-Ankündigungen finden).
Für kritische Schwachstellen setzt Digi einen formellen Incident Management Prozess ein. Dieser Prozess beinhaltet die Bereitstellung angemessener Ressourcen für die Lösung des Problems, bis eine Lösung veröffentlicht wurde. Der Prozess umfasst interne Kommunikations- und Eskalationsverfahren, um sicherzustellen, dass die Lösung die höchstmögliche Priorität erhält.
Alle Software-Resolutionen werden über unsere Standard-Release-Kanäle bereitgestellt, d. h. über unser Digi Remote Manager Portal und unsere Digi-Support-Website. Sicherheitsrelevante Software-Lösungen werden allen Kunden unabhängig vom Garantiestatus zur Verfügung gestellt.
Sicherheitslücken, die Änderungen am Hardware-Design erfordern, sind extrem selten. Bei kritischen Problemen wird Digi eine allgemeine Rückrufaktion für die betroffenen Geräte durchführen. Alle anderen Defekte werden über den normalen RMA-Prozess abgewickelt.
Erhalt von Informationen über potenzielle Schwachstellen
Kunden und Partner können sich registrieren, um über das Digi Security Center Informationen über potenzielle Schwachstellen zu erhalten, die gerade bewertet oder behoben werden.
Alle registrierten Parteien erhalten Sicherheitshinweise mit kritischem und hohem Schweregrad, die detaillierte Informationen über die Schwachstelle enthalten. Außerdem erhalten sie Aktualisierungen zu allen Problemen, die sie über unser Meldeportal oder unser Support-Portal gemeldet haben, unabhängig von ihrer Art.
Zuletzt aktualisiert: Dezember 20, 2022