start portlet menu bar end portlet menu bar

HCLSoftware – Richtlinie zur Offenlegung von Sicherheitslücken

 

HCLSoftware ist sich bewusst, wie wichtig die Sicherheits-Community für die Sicherheit unserer Produkte und unserer Kunden ist. Wir danken Ihnen im Voraus für Ihre Beiträge zu unserem Programm zur Offenlegung von Schwachstellen.

Das HCLSoftware Vulnerability-Management-Team verwaltet den Erhalt, die Untersuchung und die interne Koordination von Informationen zu Sicherheitslücken im Zusammenhang mit HCLSoftware-Angeboten. In Absprache mit den HCL Produkt- und Software-Teams erarbeitet es einen geeigneten Plan für die Reaktion im Notfall. Die Aufrechterhaltung der Kommunikation zwischen allen Beteiligten, sowohl intern als auch extern, ist eine wichtige Komponente unseres Prozesses zur Reaktion auf Schwachstellen.

HCL strebt an, auf neue Meldungen innerhalb von 2 Werktagen zu reagieren.

Kunden und andere berechtigte Benutzer eines Produkts oder einer Software sollten sich an den HCLSoftware-Kundendienst wenden um Probleme zu melden, die bei HCL-Angeboten festgestellt wurden. Wenn das HCLSoftware Customer Support Team feststellt, dass ein gemeldetes Problem eine Sicherheitslücke darstellt, wird es bei Bedarf mit dem HCLSoftware Vulnerability Management Team Kontakt aufnehmen.

 

This text is not displayed but is loaded on page.

Richtlinien

  • Um an diesem Programm teilnehmen zu können, dürfen Sie innerhalb von 6 Monaten vor Einreichung der Meldung keinen gültigen Vertrag zur Durchführung von Sicherheitstests für die HCL Corporation, eine HCL-Tochtergesellschaft oder einen HCL-Kunden gehabt haben.
  • Melden Sie nur Schwachstellen bei HCLSoftware-Produkten, die derzeit unterstützt werden. Die Produktliste finden Sie im Abschnitt „Geltungsbereich“ unten. Dieses Programm umfasst nur die aktuelle und die vorherige Version dieser Produkte.
  • Um unsere Kunden zu schützen, gibt HCLSoftware Sicherheitslücken erst öffentlich bekannt oder bestätigt diese, wenn HCLSoftware eine Analyse des Produkts durchgeführt und Fixes und/oder schadensbegrenzende Maßnahmen veröffentlicht hat. Indem Sie eine Meldung über eine Sicherheitslücke bei HCLSoftware einreichen, erklären Sie sich damit einverstanden, Informationen über die Sicherheitslücke nicht öffentlich darzulegen oder an Dritte weiterzugeben, bis HCLSoftware bestätigt, dass die Sicherheitslücke behoben wurde, oder Sie eine schriftliche Erlaubnis von HCLSoftware erhalten haben, Informationen über die Sicherheitslücke zu veröffentlichen.
  • HCLSoftware nimmt derzeit nicht an Prämienprogrammen für die Aufdeckung von Sicherheitslücken teil.
  • Damit HCL Ihre Meldung zu einer Sicherheitslücke auswerten kann, erklären Sie sich damit einverstanden, die folgenden Informationen zu Ihrem Fund bereitzustellen: Ihre E-Mail-Adresse (erforderlich) und Details zu Softwareprodukt und -version, eine Beschreibung des Problems, die Hardwareplattform, Schritte zur Reproduktion des Problems und mögliche Auswirkungen. Siehe Abschnitt „Melden einer Sicherheitslücke“.
  • Nehmen Sie keine Daten, die eine Person identifizieren könnten (z. B. einen Namen, Kontaktinformationen, eine IP-Adresse oder andere ähnliche Informationen) in die Anhänge zu Ihrer Meldung einer Sicherheitslücke auf.

Sicherheitslücken außerhalb des Geltungsbereichs

Meldungen zu folgenden Sachverhalten werden im Rahmen dieses Programms nicht akzeptiert:

  • Clickjacking auf Seiten ohne Aktionen zur Änderung des sensiblen Status
  • CSRF bei nicht authentifizierten Sitzungen/An- oder Abmelden
  • Angriffe, die einen MITM oder physischen Zugriff auf das Gerät eines Benutzers erfordern
  • Bereits bekannte vulnerable Bibliotheken ohne funktionierenden Machbarkeitsnachweis
  • Injektion von CSV (Comma Separated Values) ohne Nachweis einer Sicherheitslücke
  • Maßnahmen, die nicht zu einer verwertbaren Sicherheitslücke führen oder über keine CVE-Kennung verfügen
  • Jede Aktivität, die zu einer Unterbrechung unseres Dienstes (Disruption of Service – DoS) führen könnte
  • Probleme durch Content Spoofing und Text Injection, ohne dass eine Angriffsmethode angezeigt wird / ohne HTML-/CSS-Code ändern zu können
  • HCLSoftware, die nicht mehr unterstützt wird (End of Support – EOS), wird nicht akzeptiert und wird mit „Nicht zutreffend“ beantwortet.
  • Öffentlich bekannte Daten, die für jedermann zugänglich sind Bitte beachten Sie: Wenn Sie eine Verzeichnisliste finden und erklären, wie diese zu einem schädlichen Exploit führen kann, nehmen wir diese Meldung an.

Rechtliche Hinweise

Durch die Meldung von Sicherheitslücken an HCL erklären Sie sich damit einverstanden, dass HCL alle von Ihnen in dieser Meldung bereitgestellten Informationen für alle geschäftlichen Zwecke von HCL verwenden darf (u. a. zur Reproduktion der Sicherheitslücke, zur Behebung der Sicherheitslücke und zu allgemeinen Entwicklungszwecken), ohne dass Ihre Zustimmung oder eine Zahlung an Sie erforderlich ist.

Außerdem ist es wichtig, dass Sie uns benachrichtigen, wenn solche Informationen oder damit verbundenes geistiges Eigentum nicht Ihr eigenes Werk sind oder durch die geistigen Eigentumsrechte anderer abgedeckt sind. Erfolgt keine Benachrichtigung, sichern Sie damit zu, dass keine geistigen Eigentumsrechte Dritter betroffen sind.

Vielen Dank für Ihre Unterstützung dabei, für die Sicherheit von HCL und unseren Kunden zu sorgen!

Alle HCLSoftware-Produkte fallen in den Geltungsbereich der
Richtlinie zur Offenlegung von Sicherheitslücken.