Zielsetzung
Diese Richtlinie soll die Standards von Digi für die Reaktion auf bekannte potenzielle Sicherheitsschwachstellen in DAL OS Produkten beschreiben. Sie definiert die Ziele von Digi für die Kommunikation potenzieller Schwachstellen und die Bereitstellung von Lösungen für Kunden.
Umfang
Diese Richtlinie bezieht sich speziell auf Sicherheitsschwachstellen in freigegebenen und unterstützten DAL OS Produkten. Wir definieren eine Sicherheitslücke als eine unbeabsichtigte Schwäche oder einen Fehler in der Hardware, Firmware oder Software, der von einem Bedrohungsagenten ausgenutzt werden kann, um das Netzwerk eines Kunden zu gefährden. Dazu gehören unter anderem alle Methoden, die unbeabsichtigt nicht autorisierte Zugriffsmethoden, Berechtigungen oder Informationen ermöglichen.
Diese Richtlinie gilt nicht für den allgemeinen Support und den Lösungsprozess für nicht sicherheitsrelevante Fehler. Weitere Informationen zu allgemeinen Support-Richtlinien finden Sie unter Support & Helpdesk Ops.
Publikum
Diese Richtlinie ist für Partner und Kunden von Digi bestimmt.
Einführung
DAL OS ist das Standard-Betriebssystem von Digi, das in Enterprise- (EX), Industrie- (IX) und Transport-Routern (TX), Geräte- und seriellen Servern (Connect EZ), Konsolenservern und USB-verbundenen Geräten integriert ist.
Die Produkte von DAL OS sind so konzipiert, dass sie sichere und zuverlässige Bestandteile der Netzwerke unserer Kunden sind. Unsere Produkte enthalten viele Sicherheitsfunktionen wie sicheres Booten, Firewalls, Authentifizierung, Autorisierung und Verschlüsselung. Die Digi Engineering Praktiken verbieten die Einführung von Funktionen, die diese Funktionen umgehen.
Digi begrüßt die transparente Meldung von Schwachstellen und ist bestrebt, diese zeitnah zu beheben. Zusätzlich zur Meldung durch die Benutzer sucht Digi aktiv nach Schwachstellen durch interne Tests, statische Codeanalyse, unabhängige Penetrationstests und die Bewertung neuer CVEs. Diese können durch einen Fehler im Design oder in der Entwicklung oder (häufiger) durch die Entdeckung einer Schwachstelle in einer Bibliothek eines Drittanbieters, die in die DAL OS-Firmware oder -Software integriert ist, eingeführt werden. Die Schwachstellen können durch DAL OS-Tests entdeckt werden, öffentlich als Common Vulnerability and Exposure (CVE) gemeldet oder durch eine unabhängige Sicherheitsbewertung, einen Kunden oder eine andere Partei entdeckt werden.
Die Politik von Digi besteht darin, die Auswirkungen aller gemeldeten Schwachstellen schnell zu bewerten. Sobald die Schwachstelle nach dem Common Vulnerability Scoring System (CVSS 4.0) bewertet wurde, werden die Details der Schwachstelle, ihre Auswirkungen und der Zeitplan für die Behebung für Kunden und Partner öffentlich zugänglich gemacht.
Meldung potenzieller Schwachstellen
Kunden oder Partner, bei denen ein Sicherheitsproblem mit DAL OS Produkten auftritt, werden gebeten, das Problem so schnell wie möglich über das Digi-Sicherheitsformular zu melden. Wenn Sie eine potenzielle Sicherheitslücke melden, geben Sie bitte so viele Informationen wie möglich (einschließlich der CVE-Nummer, falls verfügbar) über die Umstände und die potenziellen Auswirkungen an.
Bewertung potenzieller Schwachstellen
Digi verwendet das Common Vulnerability Scoring System (CVSS 4.0) in Kombination mit den Schweregraden, um neu gemeldete potenzielle Schwachstellen zu bewerten. Der ermittelte CVSS-Score spiegelt die potenzielle Sicherheitsbedrohung der Schwachstelle im Kontext des Digi-Produktdesigns wider. Das Sicherheits- und Entwicklungsteam von Digi behält sich das Recht vor, den CVSS-Score intern neu zu klassifizieren, um die Wahrscheinlichkeit von Auswirkungen auf unsere Produkte auf der Grundlage von Implementierungsunterschieden zu bestimmen, die ursprünglich vom NIST genannt wurden. Für den Fall, dass ein Verbraucher von Digi-Produkten und -Dienstleistungen Fragen zu den getroffenen Festlegungen hat, kann ein Vektorstring der von Digi ermittelten Punktzahl zur Klärung über eine Supportanfrage an folgende Adresse übermittelt werden Digi-Support
Informationen und Fristen für die Lösung
Der CVSS 4.0-Score wird verwendet, um Prioritäten zu setzen und Ziele für die Kommunikation und Problemlösung wie folgt festzulegen:
Schweregrad |
CVSS 4.0 |
Auflösung Ziel |
Informationen korrigieren |
Kritisch |
9.0-10.0 |
Patch-Veröffentlichung innerhalb von 30 Tagen nach Veröffentlichung des Sicherheitshinweises |
Informationen zu den Korrekturen finden Sie in den Versionshinweisen des Patches. |
Hoch |
7.0-8.9 |
Patch-Veröffentlichung innerhalb von 30 Tagen nach Veröffentlichung des Sicherheitshinweises |
Informationen zu den Korrekturen finden Sie in den Versionshinweisen des Patches. |
Mittel |
4.0-6.9 |
Nächste größere Veröffentlichung |
Anmerkungen zur Veröffentlichung |
Kleinere |
N/A |
Zukünftige Veröffentlichung |
Anmerkungen zur Veröffentlichung |
Keine Verwundbarkeit |
N/A |
N/A |
N/A |
Behebung potenzieller Schwachstellen
Digi nimmt Sicherheitslücken sehr ernst und ist bestrebt, Kunden und Partnern Lösungen für alle derzeit unterstützten Produkte in Übereinstimmung mit den Lösungszielen zur Verfügung zu stellen (um zu überprüfen, welche Produkte nicht mehr unterstützt werden, besuchen Sie bitte das Digi-Kundenportal, wo Sie eine Liste der PCNs und EOL-Ankündigungen finden).
Für kritische Schwachstellen setzt Digi einen formellen Incident Management Prozess ein. Dieser Prozess beinhaltet die Bereitstellung angemessener Ressourcen für die Lösung des Problems, bis eine Lösung veröffentlicht wurde. Der Prozess umfasst interne Kommunikations- und Eskalationsverfahren, um sicherzustellen, dass die Lösung die höchstmögliche Priorität erhält.
Alle Software-Resolutionen werden über unsere Standard-Release-Kanäle bereitgestellt, d. h. über unser Digi Remote Manager Portal und unsere Digi-Support-Website. Software-Wartung wird nach der Software-Garantiezeit für die Dauer der Hardware-Garantie und bis zum End-of-Software-Release-Datum angeboten. Dies umfasst wirtschaftlich angemessene Bemühungen zur Behebung von Mängeln und zur Aktualisierung von Sicherheitsfunktionen. Es kann erforderlich sein, dass der Kunde ein Upgrade auf eine aktuelle Version der Firmware durchführt und/oder andere Änderungen am Gerät vornimmt, um diese Updates zu implementieren.
Wenn Digi ein End-of-Life-Datum (EOL) für ein Produkt ankündigt, definiert Digi ein End-of-Software-Release-Datum, das 1 Jahr nach dem Last-Time-Ship-Datum liegt.
Sicherheitslücken, die Änderungen am Hardware-Design erfordern, sind extrem selten. Bei kritischen Problemen wird Digi eine allgemeine Rückrufaktion für die betroffenen Geräte durchführen. Alle anderen Defekte werden über den normalen RMA-Prozess abgewickelt.
Erhalt von Informationen über potenzielle Schwachstellen
Kunden und Partner können sich registrieren, um über das Digi Security Center Informationen über potenzielle Schwachstellen zu erhalten, die gerade bewertet oder behoben werden.
Alle registrierten Parteien erhalten Sicherheitshinweise mit kritischem und hohem Schweregrad, die detaillierte Informationen über die Schwachstelle enthalten. Außerdem erhalten sie Aktualisierungen zu allen Problemen, die sie über unser Meldeportal oder unser Support-Portal gemeldet haben, unabhängig von ihrer Art.
Zuletzt aktualisiert: August 19, 2024