Zielsetzung
Diese Richtlinie soll die Standards von Digi für die Reaktion auf bekannte potenzielle Sicherheitsschwachstellen in Digi-Produkten beschreiben, die Digi Embedded Yocto (DEY) integrieren. Sie definiert die Ziele von Digi für die Mitteilung potenzieller Schwachstellen und die Bereitstellung von Lösungen für Kunden.
Umfang
Jede Software kann potenziell Anfälligkeiten oder Schwachstellen aufweisen, die von Cyberkriminellen ausgenutzt werden können, um einen erfolgreichen Angriff durchzuführen. Ein Systemsoftware-Abbild eines Geräts umfasst verschiedene Softwarekomponenten.
- Digi entwickelte Softwarepakete wie das Digi ConnectCore® Board Support Package (BSP) und Digi Embedded Yocto Software-Erweiterungen werden von Digi gepflegt und sind Eigentum von Digi.
- Open-Source-Upstream-Pakete aus der Linux-Gemeinschaft, die zur Erstellung der endgültigen kundenspezifischen Images verwendet werden, werden von der Linux-Gemeinschaft und den Kunden gepflegt und sind deren Eigentum.
- Kundenanwendungssoftware wird von den Kunden gewartet und gehört ihnen.
Neben der Digi-eigenen Softwarewartung bietet Digi Dienstleistungen zur Unterstützung der Wartung von Softwarepaketen an, die sich im Besitz der Gemeinschaft/Kunden befinden, wie Digi ConnectCore Security Services und Digi Wireless Design Services.
Digi ConnectCore Security Services analysieren Systemsoftware, die auf ConnectCore System-on-Module (SOM) basierten Geräten läuft, auf Sicherheitsrisiken und Schwachstellen und helfen bei der Behebung von Problemen. Digi ConnectCore Bei den Security Services handelt es sich um eine Sammlung von Diensten und Tools, die es Kunden ermöglichen, die Sicherheit ihrer ConnectCore SOM-basierten Geräte während ihres gesamten Lebenszyklus zu gewährleisten. Dies ermöglicht es Kunden, die ständige Herausforderung zu lösen, Produkte auch nach der Veröffentlichung sicher zu halten.
Die Dienstleistungen umfassen die Analyse und Überwachung einer benutzerdefinierten Software Bill of Materials (SBOM) und eines Binärabbilds, das auf Digi ConnectCore SOMs läuft, auf Sicherheitsrisiken und Schwachstellen. Zur Behebung festgestellter Probleme bieten die Dienste einen kuratierten Schwachstellenbericht, in dem kritische Probleme hervorgehoben werden, eine Sicherheitssoftwareschicht mit Patches für gängige Schwachstellen sowie Beratungsdienste.
Digi Wireless Design Services bieten technischen Support von Digi für Softwareentwicklung und Sicherheitswartung. Digi bietet Support nach den Anweisungen und Prioritäten der Kunden auf der Grundlage einer vereinbarten Anzahl von Stunden pro Monat, die in der Servicevereinbarung enthalten sind.
Diese Richtlinie bezieht sich speziell auf Sicherheitsschwachstellen in freigegebenen und unterstützten Produkten, auf denen DEY-Images laufen. Wir definieren eine Sicherheitslücke als eine unbeabsichtigte Schwäche oder einen Fehler in der Hardware, Firmware oder Software, der von einem Bedrohungsagenten ausgenutzt werden kann, um das Gerät eines Kunden zu gefährden. Dazu gehören unter anderem alle Methoden, die absichtlich oder unabsichtlich nicht autorisierte Zugriffsmethoden, Berechtigungen oder Informationen bereitstellen.
Diese Richtlinie deckt keine allgemeinen Support- und Lösungsprozesse für nicht sicherheitsrelevante Fehler ab. Weitere Informationen zu allgemeinen Support-Richtlinien finden Sie unter Digi Support Services.
Publikum
Diese Richtlinie ist für Kunden und Vertriebspartner von Digi bestimmt.
Einführung
Das Yocto Project™ ist ein Open-Source-Kollaborationsprojekt, das Vorlagen, Werkzeuge und Methoden zur Verfügung stellt, mit denen Sie benutzerdefinierte Linux-basierte Systeme für eingebettete Produkte unabhängig von der Hardware-Architektur erstellen können. Es ist ein kompletter Embedded Linux Distribution Builder mit Tools, Metadaten und Dokumentation.
Mit dem Yocto-Projekt können Kunden Tausende von Paketen kompilieren, um ihre eigenen Linux-Images zu erstellen und Open-Source-Anwendungen der Community zu ihren Geräten hinzuzufügen. Es baut die drei Hauptkomponenten eines eingebetteten Linux-Produkts auf:
- Der Bootloader
- Der Linux-Kernel
- Der Benutzerbereich oder das Root-Dateisystem
Digi Embedded Yocto ist eine quelloffene und frei verfügbare, auf dem Yocto Projekt basierende Embedded Linux Distribution. Es ist die Referenzdistribution für das Digi ConnectCore Ökosystem von eingebetteten System-on-Modulen (SOMs) und Single-Board-Computern (SBCs) und basiert auf Poky, der Referenzdistribution des Yocto Projekts. Sie enthält Anpassungen für Digi-Hardware sowie sofort einsatzbereite Software-Erweiterungen, die nicht Teil des Standard-Yocto-Projekts sind und dazu beitragen, dass Produkte schneller auf den Markt kommen.
Die folgenden Digi ConnectCore Plattformen werden unterstützt:
- Digi ConnectCore 91
- Digi ConnectCore MP25
- Digi ConnectCore 93
- Digi ConnectCore MP13
- Digi ConnectCore MP15
- Digi ConnectCore 8M Mini
- Digi ConnectCore 8M Nano
- Digi ConnectCore 6+
- Digi ConnectCore 8X
- Digi ConnectCore 6UL
- Digi ConnectCore 6/6N
Digi begrüßt die transparente Meldung von Schwachstellen und ist bestrebt, diese zeitnah zu beheben. Zusätzlich zur Meldung durch die Benutzer sucht Digi aktiv nach Schwachstellen durch interne Tests, statische Code-Analysen, unabhängige Penetrationstests und die Bewertung kommender gemeinsamer Schwachstellen und Gefährdungen (CVEs). Diese können durch einen Fehler im Design oder in der Entwicklung oder (häufiger) durch die Entdeckung einer Schwachstelle in einer Bibliothek eines Drittanbieters, die in die Firmware oder Software eines DEY-basierten Produkts integriert ist, eingeführt werden. Die Schwachstellen können durch Firmware- oder Softwaretests entdeckt werden, öffentlich als allgemeine Schwachstellen und Gefährdungen gemeldet oder durch eine unabhängige Sicherheitsbewertung, einen Kunden oder eine andere Partei entdeckt werden.
Die Politik von Digi besteht darin, die Auswirkungen aller gemeldeten Schwachstellen schnell zu bewerten. Sobald die Schwachstelle nach dem Common Vulnerability Scoring System (CVSS 4.0) bewertet wurde, werden die Details der Schwachstelle, ihre Auswirkungen und die Zeitpläne für die Behebung den Kunden und Händlern öffentlich zugänglich gemacht.
Meldung potenzieller Schwachstellen
Kunden oder Distributoren, bei denen Sicherheitsprobleme mit DEY-Produkten auftreten, werden gebeten, das Problem so bald wie möglich über das Digi-Sicherheitsformular zu melden. Wenn Sie eine potenzielle Sicherheitslücke melden, geben Sie bitte so viele Informationen wie möglich (einschließlich der CVE-Nummer, falls verfügbar) über die Umstände und die potenziellen Auswirkungen an.
Bewertung potenzieller Schwachstellen
Digi verwendet das Common Vulnerability Scoring System (CVSS 4.0) in Kombination mit der Schwerebewertung, um neu gemeldete potenzielle Schwachstellen zu bewerten. Der ermittelte CVSS-Score spiegelt die potenzielle Sicherheitsbedrohung der Schwachstelle im Kontext des Digi-Produktdesigns wider. Das Sicherheits- und Technikteam von Digi behält sich das Recht vor, den CVSS-Score intern neu zu klassifizieren, um die Wahrscheinlichkeit von Auswirkungen auf unsere Produkte auf der Grundlage der Implementierung zu bestimmen. Digi-Kunden können Abfragen zu CVE-Bewertungen stellen. Dazu schreiben Sie einen Vektorstring mit CVSS 4.0 des von Digi ermittelten Scores und senden Sie die Anfrage an Digi Unterstützung.
Informationen und Fristen für die Lösung
Diese Auflösungsfristen gelten für von Digi entwickelte Softwarepakete wie das Digi ConnectCore Board-Support-Paket (Bootloader, Linux-Kernel-Modifikationen) und Digi Embedded Yocto Software-Erweiterungen, die von Digi gewartet werden und in dessen Besitz sind.
Der CVSS 4.0-Score wird verwendet, um Prioritäten zu setzen und Ziele für die Kommunikation und Problemlösung wie folgt festzulegen:
Schweregrad |
CVSS 4.0 |
Auflösung Ziel |
Informationen korrigieren |
Kritisch |
9.0-10.0 |
Fehlerbehebungen werden so schnell wie möglich in das öffentliche GitHub-Repository eingestellt, wobei eine Lösung innerhalb von 4 Wochen angestrebt wird. |
Die Informationen werden im GitHub-Repository und im Sicherheitshinweis veröffentlicht. |
Hoch |
7.0-8.9 |
Fehlerbehebungen werden so schnell wie möglich in das öffentliche GitHub-Repository eingestellt, wobei eine Lösung innerhalb von 8 Wochen angestrebt wird. |
Die Informationen werden im GitHub-Repository veröffentlicht. |
Mittel |
4.0-6.9 |
Nächste größere Veröffentlichung |
Siehe die Release Notes in der entsprechenden DEY-Distribution. |
Kleinere |
N/A |
Zukünftige Veröffentlichung |
Siehe die Release Notes in der entsprechenden DEY-Distribution. |
Keine Verwundbarkeit |
N/A |
N/A |
N/A |
Digi stellt in der Regel Korrekturen für "kritische" oder "schwerwiegende" Schwachstellen in die öffentlichen DEY-Repositories ein, und zwar vor jeder bevorstehenden Veröffentlichung einer aktiv unterstützten DEY-Version und nach Abschluss der Implementierung und Tests. In diesem Fall ist ein Update auf eine höhere DEY-Version aufgrund von Abhängigkeiten zwingend erforderlich, damit ein Fix wirksam wird.
Behebung potenzieller Schwachstellen
Digi nimmt Sicherheitsschwachstellen ernst und ist bestrebt, Kunden und Partnern Lösungen für alle Produkte, die derzeit unterstützt werden, in Übereinstimmung mit den Lösungszielen zur Verfügung zu stellen. Um zu überprüfen, welche Produkte nicht mehr unterstützt werden, besuchen Sie bitte das Digi-Kundenportal, wo Sie eine Liste der Produktänderungsmitteilungen (PCN) und End-of-Life-Ankündigungen (EOL) finden.
Alle Software-Resolutionen werden über unsere Standard-Release-Kanäle ausgeliefert, d.h. über die öffentlichen DEY-Repositories bei Digi International Inc. - Embedded. Sicherheitsrelevante Software-Resolutionen werden allen Kunden unabhängig vom Garantiestatus zur Verfügung gestellt.
Erhalt von Informationen über potenzielle Schwachstellen
Kunden und Partner können Digi Security Center-Warnungen und -Benachrichtigungen abonnieren, um Informationen über potenzielle Schwachstellen zu erhalten, die gerade bewertet oder behoben werden.
Alle Parteien, die das Digi Security Center abonniert haben, erhalten Sicherheitshinweise zu einigen kritischen und schwerwiegenden Problemen, die detaillierte Informationen über Sicherheitslücken enthalten. Außerdem erhalten sie Updates zu allen Problemen, die sie über unser Portal zur Meldung von Sicherheitslücken oder über das Portal für technischen Support gemeldet haben, unabhängig von ihrer Art.
Zuletzt aktualisiert: August 2024