Red Hat非常重视安全,我们的目标是立即采取行动解决涉及我们产品或服务。
请将Red Hat产品或服务中的任何可疑安全漏洞报告给Red Hat-product security,网址为secalert@redhat.com。您可以使用我们的GPG键与我们安全沟通。
要报告任何Red Hat品牌网站或在线服务中的问题,请通过以下地址联系红帽信息安全部:site-security@redhat.com.
何时联系Red Hat Product Security
如果出现以下情况,您应该联系Red Hat Product Security:
在所有其他情况下,您应该联系Red Hat客户体验和参与.
如果出现以下情况,您应联系Red Hat客户体验与参与:
- 您不确定已知漏洞如何影响Red Hat产品或服务。
- 您希望用英语以外的语言报告问题。
- 您需要安全功能的技术支持(例如,“如何配置防火墙?”)。
- 由于安全警报,您需要帮助升级软件包。(有关升级软件包的信息,请参阅“如何从Red Hat Network应用软件包更新?”。)
- 您的问题与安全无关。
在任何情况下,请联系Red Hat客户体验和参与而不是。
仅限Red Hat Product Security的成员以及精心挑选的红帽员工团队,将有权访问材料发送至secalert@redhat.com地址。没有外部用户可以订阅此列表。
报告Red Hat产品中的安全漏洞
Red Hat Product Security欢迎并鼓励提交所有潜在漏洞。为了使我们能够提供最佳的客户服务并及时解决问题,请提供以下信息(如果知道):
- 受影响组件的版本号,例如rpm包、容器映像和java组件。
- 发现问题的环境和相应版本,例如操作系统的名称、版本、体系结构或容器平台。
- 复制步骤(如果可用)。
- 攻击者利用系统上此漏洞的方式。
- 公众是否已经知道该漏洞?如果没有,计划披露日期是什么时候?
- 如果攻击者利用该漏洞(例如拒绝服务、权限提升或远程代码执行),将产生直接影响。
Red Hat Product Security使用OpenPGP密钥来保护我们的电子邮件通信。邮件发送至secalert@redhat.com可以使用此公钥加密。我们希望不时更改我们使用的密钥。如果我们更改密钥,以前的密钥将被撤销,并且rhsa-年鉴邮件列表将收到更改通知。
DCE3823597F5EAC4:Red Hat,Inc.(产品安全)
此密钥用于与Red Hat Product Security进行安全通信,并用于对发布到邮件列表中的安全建议进行签名。
下载: 红帽
指纹:77E7 9ABE 9367 3533 ED09 EBE2 DCE3 8235 97F5 EAC4
请不要将使用此公钥加密的消息发送到任何地址除security@redhat.com和secalert@redhat.com。我们无法接受任何使用此公钥加密的非安全相关电子邮件。
我们如何回应
电子邮件发送至secalert@redhat.com已读取并且在三个工作时间内收到非自动回复天。对于复杂且需要重点关注的问题,我们将展开调查,并随时为您提供检查我们进展情况的机制。
您与我们分享的任何有关以下安全问题的信息Red Hat对非公开信息保密。不是这样的未经您的许可,将其传递给任何第三方。
通知
Red Hat不提供高级通知服务。安全咨询可从Red Hat产品安全并通过Red Hat客户门户.
通用标准及时更新
请参阅生命周期安全更新策略有关Red Hat安全更新策略的信息以及禁止(未公开)漏洞处理的信息。
资源包括:
Red Hat安全更新(咨询)
Red Hat CVE数据库
Red Hat常见漏洞和暴露(CVE)计划
协调漏洞披露(CVD)
Red Hat与合作伙伴、供应商、研究人员和社区协调员合作,披露硬件、软件和服务中新发现的漏洞。多方协调是一个复杂的过程,了解各方的漏洞披露政策、漏洞处理政策和合同协议为可信通信和协作开辟了道路。提高各方之间的透明度可确保供应商能够理解和管理漏洞带来的风险,并促进与其他各方的合作。CVD的目的是为各方和客户提供及时、一致的指导,帮助他们保护自己。
请参阅Red Hat CNA漏洞披露政策有关Red Hat如何披露Red Hat/Fedora范围内的安全漏洞的详细信息。
有关CVD的更多信息,请查看以下链接中提供的信息:
多方脆弱性协调和披露指南和实践
CERT漏洞披露指南
PSIRT服务框架
