Wij zijn bereid te goeder trouw samen te werken met individuele onderzoekers, ICS-CERT, veiligheidsinformatiebureaus, klanten en buitendienstmedewerkers die een kwetsbaarheidsrapport over onze producten kunnen indienen. Kwetsbaarheden kunnen worden gerapporteerd op onze ’’Een probleem melden’’ pagina.
Eaton onderneemt geen juridische stappen tegen personen die:
We volgen een intern risicobeoordelingsproces om de ontvangst van kwetsbaarheidsinformatie te accepteren en te bevestigen, doen een voorlopige analyse en kennen een eerste beoordeling toe aan de gemelde kwetsbaarheid. Voor elke extern gemelde kwetsbaarheid in softwarebibliotheken van derden kennen we een risicoclassificatie toe aan de hand van de CVSS v3-kwetsbaarheidsscore methode, zoals die van toepassing is op het betreffende Eaton-product en de context waarin het wordt ingezet. Elke kwetsbaarheid waarvan de algemene CVSS-score 7,0 of hoger is of die door de CCoE als een hoog veiligheidsrisico wordt beschouwd, wordt op prioritaire basis aangepakt.
Kwetsbaarheden die op momenteel ondersteunde producten zijn ontdekt, worden door Eaton verholpen. Het CCoE-team werkt samen met het productteam om de kwetsbaarheid te herstellen volgens de toegekende prioriteit. Bij benadering wordt een tijdschema voor de oplossing van het probleem geraamd en aan de kwetsbaarheidsverslaggevers (d.w.z. individuele onderzoekers, ICS-CERT of andere instanties) gecommuniceerd. Het CCoE-team fungeert tijdens deze fase als aanspreekpunt voor externe entiteiten en gaat in gesprek met de interne teams om de kwetsbaarheid te laten repareren en testen. Gedurende deze periode kan de communicatie met de rapporterende partij in stand worden gehouden terwijl wij werken aan het oplossen van het probleem.
Eaton geeft via het standaard distributiekanaal van de betreffende producten kwetsbaarheidsoplossingen vrij. De gedetailleerde technische informatie met betrekking tot de oplossingen wordt vrijgegeven als een Eaton productveiligheidsadvies.
Eaton geeft er de voorkeur aan om met de kwetsbaarheidsonderzoekers een gecoördineerde openbaarmaking uit te voeren en verwacht dat de kwetsbaarheidsonderzoekers afzien van het bekendmaken van kwetsbaarheidsdetails aan het publiek voordat een wederzijds overeengekomen tijdsbestek afloopt.
Openbare bekendmaking van informatie met betrekking tot beveiligingsproblemen vindt u op onze Cybersecurity-meldingen-pagina. Deze pagina is de centrale opslagplaats voor Eaton productbeveiligingsadviezen met betrekking tot alle elektrische producten van Eaton. Klanten worden aangemoedigd om dit portaal in de gaten te houden voor de laatste veiligheidsadviezen.
We zijn van plan om beveiligingsadviezen uit te geven voor gevalideerde kwetsbaarheden wanneer er een praktische workaround of oplossing is geïdentificeerd. Er kunnen zich gevallen voordoen waarin een advies wordt verstrekt zonder dat er een workaround bestaat. Omdat elk beveiligingskwetsbaarheid anders is, kunnen we alternatieve acties ondernemen in verband met het uitgeven van beveiligingsadviezen.
Eaton garandeert niet dat er beveiligingsadviezen worden verstrekt voor alle of een deel van de beveiligingskwesties die klanten als belangrijk beschouwen of dat er adviezen worden verstrekt binnen een bepaalde termijn.
Opmerking: Eaton behoudt zich het recht voor om dit beleid te allen tijde naar eigen goeddunken te wijzigen.
Eaton houdt de bijdragen van veiligheidsonderzoekers, die de kwetsbaarheid van producten op het gebied van cybersecurity in overeenstemming met dit beleid rapporteren, bij om ze te erkennen:
| Bijdrager | Organisatie | Notificaties |
| Natnael Samson | Trend Micro's ZDI | |
| Ravjot Singh Samra | CVE-2020-6650 | |
| Sivathmican Sivakumaran | Trend Micro's ZDI |
| Bijdrager | Organisatie | Notificaties |
| Emre Övünç | CVE-2018-12031 | |
| Tod Beardsly | Rapid 7 | CVE-2019-5625 |
| Bijdrager | Organisatie | Notificaties |
| Ariele Caltabiano (kimiya) | Trend Micro's ZDI | CVE-2018-7511 |
| Ghirmay Desta | Trend Micro's ZDI | CVE-2018-8847 |
Bekijk de huidige meldingen en meld u aan om notificaties te ontvangen.
E-mail verzenden
