Richtlinie zur Schwachstellenoffenlegung

Die Veröffentlichung von durch das Security Research-Team der mediaTest digital GmbH gefundene Schwachstellen erfolgt nach folgendem Protokoll, wenn nicht anders spezifiziert:

  1. Die Schwachstellenbeschreibung wird dem Hersteller über eine bekannte oder vom Hersteller genannte Kontaktschnittstelle gemeldet
  2. Übergeben wird eine Beschreibung zum Nachvollziehen der Schwachstelle
  3. Ab dem Zeitpunkt der Übergabe der Schwachstellenbeschreibung an den Hersteller wird die Schwachstelle spätestens nach 90 Tagen veröffentlicht
  4. Fällt dieser Tag auf ein Wochenende oder einen bundesweiten Feiertag, wird die Frist auf den darauffolgenden Werktag verschoben
  5. Wird ein Patch für die Schwachstelle schon vor Ablauf der Frist veröffentlicht, wird damit auch die Veröffentlichung der Schwachstellenbeschreibung vorgezogen
  6. Sofern der Hersteller vermeldet, dass ein Patch veröffentlicht wird, allerdings erst innerhalb von zwei Wochen nach Ablauf der Frist, wird die Frist zur Veröffentlichung auf das vom Hersteller gemeldete Datum verschoben
  7. Sofern der Hersteller vermeldet, dass ein Patch erst später als zwei Wochen nach Ablauf der Frist veröffentlicht wird, wird die Schwachstellenbeschreibung nach 90 Tagen veröffentlicht
  8. Im Falle von Schwachstellen, die kritische Infrastruktur (KRITIS) betreffen können, wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) in die Kommunikation mit einbezogen

Wir behalten uns das Recht vor, Schwachstellen vor Ablauf der Frist zu veröffentlichen, wenn:

  1. Kein erfolgreicher Kontakt zum Hersteller hergestellt werden konnte –
    Ein erfolgreicher Kontakt beinhaltet, sofern nicht bekannt, das Nennen eines persönlichen Ansprechpartners, die Übergabe der Schwachstellenbeschreibung an diesen sowie eine Empfangsbestätigung
  2. Die Schwachstelle auf anderem Weg öffentlich gemacht wurde
  3. Exploits zu der Schwachstelle öffentlich verfügbar werden
  4. Von einem konkreten Threat auszugehen ist, d.h. davon auszugehen ist bzw. deutliche Hinweise existieren, dass die Schwachstelle bereits ausgenutzt wird

Die Beschreibung wird wie folgt veröffentlicht:

  1. Auf einschlägigen Mailinglisten (Full-Disclosure, Bugtraq, OSS usw.)
  2. Auf der APPVISORY-Internetseite in einem gesonderten Bereich

Die Richtlinie wurde uns von unserem Partner CIPHRON GmbH zur Verfügung gestellt.