Nahlásiť zraniteľnosť

Zraniteľnosť informačných technológií verejnej správy (ITVS) alebo služby VJ CSIRT je možné nahlásiť nasledovným spôsobom podľa platnej legislatívy podľa 95/2019 Z. z. § 23a Vedenie na úseku bezpečnosti informačných technológií verejnej správy odsek (2) písmeno g)

Zaslaním e-mailu na adresu incident@csirt.sk s predmetom Nahlásenie zraniteľnosti v systéme ITVS. K e-mailu je možné priložiť prílohy a v prípade potreby využiť aj  PGP kľúč (44,3 kB) na ich zašifrovanie. (V prípade potreby je možné použiť voľne dostupný nástroj GNU GPG).

Pri hlásení zraniteľnosti je potrebné uviesť čo najviac technických informácií na to, aby bolo možné jej výskyt potvrdiť alebo vyvrátiť (volania API, technický opis a výstup z nástrojov), ktoré by mohli pomôcť pri jej analýze, overení a odstránení. Popis zraniteľnosti by mal obsahovať tieto údaje:

• čas a spôsob zistenia,
• informáciu či bola už zraniteľnosť niekde publikovaná,
• typ zariadenia, softvéru, ktorého sa zraniteľnosť týka, a jej presná verzia
• pokiaľ je to možné, informácie o nainštalovaných záplatách (patch) a aktualizáciách (update)
• detailný popis – o aký typ zraniteľnosti ide (buffer overflow, XSS, nedostatočná autentifikácia,…), ako je možné ju zneužiť (lokálne, po sieti,  je potrebná autentifikácia?), aké akcie/útoky umožňuje, čo môže spôsobiť jej zneužitie (dôvernosť, integrita, dostupnosť)
• využite existujúce nástroje na určenie dopadu, napríklad kalkulačku pre Common Vulnerability Scoring System (CVSS) of FIRST, kde je potrebné uviesť tzv. CVSS reťazec (aj odhadovaný)

Ak je to možné, pripojte prosím konkrétny súbor, ktorý obsahuje zraniteľnosť vo formáte ZIP zabezpečený heslom: „zranitelnost“.