TencentOS 漏洞服务规则
本规则适用于 TencentOS 所有产品,旨在帮助 TencentOS 用户和社区成员理解 TencentOS 如何评估、响应和披露系统中的安全漏洞。
漏洞定义
漏洞(Vulnerability)指的是系统中存在的弱点或缺陷,漏洞可被利用对系统或其应用数据的机密性、完整性、可用性造成威胁。
漏洞上报
TencentOS 安全运营团队通过多种渠道实时监控世界范围内开源社区的安全态势。与此同时,我们也欢迎用户主动向我们报告发行版中存在的安全漏洞。
如果您在 TencentOS 产品中发现了疑似的安全漏洞,我们希望您将漏洞报告给我们,并配合我们以负责任的方式修复和披露该问题。
但对于以下几种情形,建议您在报告前首先联系维护团队进行咨询:
您仅仅希望得到与安全有关的技术帮助。
您所要报告的缺陷与安全无关(无法被利用以破坏系统的安全性)。
漏洞上报方式
根据《中华人民共和国网络安全法》,我们不建议任何人直接公开有关 TencentOS 安全漏洞的细节,如需报告安全漏洞,请发送邮件至 TencentOS 安全应急响应邮箱(tencentos_secure@tencent.com),我们会在第一时间响应。
由于漏洞信息较为敏感,建议您在发送邮件时,使用 PGP 方式加密(加密方法和密钥详见附录,非强制)。
漏洞上报内容
为了形成有效的沟通,我们推荐您按照以下格式撰写漏洞上报邮件(对于不确定的内容,可填写不确定):
漏洞标题:一句话概括漏洞内容,直接体现漏洞类型和影响的组件,例如 sudo 的 sudoedit 命令存在堆溢出提权漏洞。
自我介绍:请简单介绍您自己或您所在的组织,以便我们与您取得联系。
漏洞基本信息。
漏洞类型:为漏洞选择一个分类,建议参考 CWE 漏洞分类标准(CWE List Version 4.15)。
漏洞等级:请提供基于 CVSS v3.1 标准的漏洞自我评级结果和理由。
受影响的系统和组件:请提供受影响的 TencentOS 系统版本(可通过
cat /etc/tencentos-release 命令确定,例如 TencentOS Server 3.2),以及受影响的软件包(例如 sudo-1.8.29-7.tl3.x86_64)。最早发现时间:请提供已知的最早发现该漏洞的时间。
原始信息来源:请描述漏洞信息来源,是自己发现,还是从其他来源获取的。
是否已经向其他组织报告:如果是,请提供该组织的名称,以及报告时间。
漏洞详细说明。
漏洞概述:请用几句话简要描述该漏洞。
漏洞影响:请描述该漏洞的影响范围和可能造成的危害。
漏洞复现过程:请采用图文形式,尽可能详细地描述漏洞发现过程,确保读者可按照步骤完成漏洞的复现。
攻击代码(POC):可在附件中提供,或提供相应的链接。
修复建议:欢迎提供漏洞的修复建议,可通过文字说明、修复补丁、伪代码等形式。
漏洞上报响应
TencentOS 安全运营团队承诺为漏洞上报提供最及时的响应:
我们会在1个工作日内确认收到安全漏洞报告,在3个工作日内完成初步评估并回复上报的安全问题,后续会随时向上报者同步漏洞处理的进展。
对于尚未对外公开的漏洞,我们将在收到信息的2天内向工信部网络安全威胁和漏洞信息共享平台报告并通知软件上游社区,除此以外,我们不会在未经报告者许可的情况下,向任何第三方提供漏洞信息。
我们不隶属于任何第三方漏洞赏金计划,也暂时不向我们产品中的漏洞报告提供赏金,但我们会在征得报告者同意的前提下,在安全公告中致谢。
漏洞评估
漏洞带来的影响与受影响组件的版本、使用方式、平台以及编译方式等相关,因此 TencentOS 安全团队要基于具体环境对漏洞做重评估,评估内容包括但不限于:
我们是否在发布版本中携带了受影响的软件包。
如果携带了受影响的软件包,哪些发布版本受影响。
漏洞的严重程度和影响是怎样的。
是否有现存的 CVE ID 与之对应。
我们采用国际通用的漏洞评分标准 CVSS V3.1 对漏洞进行严重性评估(关于该标准的详细说明,详情请参见 Common Vulnerability Scoring System)。CVSS V 3.1 通过以下指标组合评估一个漏洞的影响:
可利用指标。
攻击向量(AV):衡量受攻击系统的远程性以及利用漏洞的方式。
攻击复杂度(AC):衡量执行攻击的难度以及攻击成功所需的因素。
用户交互(UI):判断攻击是否需要用户参与。
权限需要(PR):记录进行攻击所需的用户身份验证级别。
范围(S):判断攻击者是否可以影响超出其安全域/权限范围的组件。
受影响指标。
机密性(C):衡量未授权用户是否可以访问信息资源以及可访问的程度。
完整性(I):衡量漏洞对数据可信度和真实性的影响。
可用性(A):衡量漏洞对合法授权用户访问数据或服务的影响。
根据 CVSS v3.1 打分,我们将漏洞按严重程度划分为以下五个等级:
严重等级 | CVSS 评分 |
致命(Critical) | 9.0-10.0 |
高(High) | 7.0-8.9 |
中(Medium) | 4.0-6.9 |
低(Low) | 0.1-3.9 |
无(None) | 0.0 |
我们将根据漏洞严重程度等级决定是否修复漏洞以及为此投入的资源。
漏洞披露
在安全漏洞修复后,TencentOS 将以安全公告的形式对外公开,公告内容包括但不限于:
受影响组件版本和修复版本。
修复或规避措施。
漏洞对应的缺陷管理系统链接。
一旦有修复或规避措施,我们就会尽快将漏洞对外披露出来,具体披露时间由 TencentOS 安全团队和漏洞提交者协商决定。
为帮助管理员快速决定是否进行更新,以及何时更新,我们将安全公告分为四个等级:
优先级 | 解释 |
严重(Critical) | 该评级针对可被远程未经身份验证的攻击者无需用户交互就轻松利用并导致系统破坏(任意代码执行)的漏洞。这些是蠕虫可利用的漏洞类型。需要经过身份验证的远程用户、本地用户或依赖罕见配置的漏洞不属于严重级别。 |
重要(Important) | 该评级针对容易危及资源的机密性、完整性或可用性的漏洞。这些漏洞允许本地用户获得特权,允许未经身份验证的远程用户查看本应通过身份验证保护的资源,允许经过身份验证的远程用户执行任意代码,或允许未经身份验证的远程用户在没有用户交互的情况下造成拒绝服务。 |
中等(Moderate) | 该评级针对可能更难利用但在某些情况下仍可能导致资源机密性、完整性或可用性受损的缺陷。这些漏洞可能会产生严重影响或重要影响,但根据对缺陷的技术评估,它们不太容易被利用,或者只在很罕见的配置下有影响。无论是否要求用户交互,可造成基本系统服务(例如内核、systemd、polkit、dbus,...)在本地间断(服务需要重新启动)拒绝服务的漏洞也应该被评为“中等”。 |
低(Low) | 此评级适用于所有其他具有安全影响的问题。这些漏洞类型被认为不太可能被利用,或者成功利用产生的影响很小。 |
为保护用户的安全,在进行调查、修复和发布安全公告之前,TencentOS 都不会公开披露和讨论产品中存在的安全问题。
