Nahlásiť zraniteľnosť
Zraniteľnosť je možné nahlásiť nasledovne:
Zaslaním e-mailu na adresu incident (at) csirt.sk. K e-mailu je možné priložiť prílohy a v prípade potreby využiť aj PGP kľúč (44,3 kB) na ich zašifrovanie. (V prípade potreby je možné použiť voľne dostupný nástroj GNU GPG).
Pri hlásení zraniteľnosti je potrebné uviesť čo najviac informácií, ktoré by mohli pomôcť pri jej analýze, overení a odstránení. Popis zraniteľnosti by mal obsahovať tieto údaje:
- čas a spôsob zistenia
- bola už zraniteľnosť niekde publikovaná?
- typ zariadenia, softvéru, ktorého sa zraniteľnosť týka, presná verzia
- pokiaľ je to možné, informácie o nainštalovaných záplatách (patch) a aktualizáciách (update)
- detailný popis – o aký typ zraniteľnosti ide (buffer overflow, XSS, nedostatočná autentifikácia,…), ako je možné zneužiť ju (lokálne , po sieti, je potrebná autentifikácia?), aké akcie/útoky umožňuje, čo môže spôsobiť jej zneužitie (dôvernosť, integrita, dostupnosť)
- odhad závažnosti zraniteľnosti
Ak je to možné, pripojte prosím konkrétny súbor (spustiteľný, zdrojový kód), ktorý obsahuje zraniteľnosť zabalený vo formáte ZIP zabezpečený heslom: „zranitelnost“.