search

opengnsys / OpenGnsys

OpenGnsys (pronounced Open Genesis) is a free and open source project that provides tools for managing and deploying different operating systems.
18 stars 13 forks source link

Coordinacion CVE para vulnerabilidades en OpenGnsys. #4

Open INCIBE-CNA opened 11 months ago

INCIBE-CNA commented 11 months ago

Estimado equipo Opengnsys,

Le escribimos desde INCIBE (https://www.incibe.es), el Instituto Nacional de Ciberseguridad de España, sobre unas vulnerabilidades reportadas por un investigador externo en uno de sus productos.

Participamos en el Programa CVE como CNA Root (https://www.cve.org/ProgramOrganization/Structure), lo que nos permite asignar y publicar códigos CVE.

Tenga en cuenta que este informe no se trata de un incidente, es decir, nadie está explotando la vulnerabilidad. Desde INCIBE nos encargamos de gestionar el informe, documentación y publicación del CVE, en coordinación con las partes afectadas.

Tal y como establece nuestra política de divulgación (https://www.incibe.es/en/incibe-cert/early-warning/vulnerabilities/cve-assignment-publication), tenemos establecido por defecto un plazo de 60 días para que por su parte tome algún tipo de acción para la resolución de estas vulnerabilidades, por lo que comenzaremos a trabajar en su publicación a partir de la primera semana de Enero

Podríamos obtener algún punto de contacto donde enviar los informes ?

Muchas gracias y un saludo,

INCIBE-CNA commented 9 months ago

Estimado equipo Opengnsys,

Adjuntamos los borradores de las vulnerabilidades para que puedan c Borrador_aviso_1.docx Borrador_aviso_2.docx Borrador_aviso_4.docx Borrador_aviso_5.docx omprobarlas, en el caso de que tengan alguna solución, háganoslo saber.

Un cordial saludo,

arey-soleta commented 8 months ago

Estimado equipo de INCIBE

¿Podéis generarnos los CVE? Este software lo usan 25 universidades públicas y así puede atraer más escrutinio público para que sea revisado a nivel internacional

INCIBE-CNA commented 8 months ago

Buenos días Antonio,

Estamos en proceso de asignación, en breves saldrán los Cve’s.

Un cordial saludo,

[logo]

INSTITUTO NACIONAL DE CIBERSEGURIDAD

SPANISH NATIONAL CYBERSECURITY INSTITUTE

INCIBE CVE Numbering Authority Team https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/asignacion-publicacion-cve @.**@.>

incibe.eshttps://incibe.es/ @INCIBE

T. +34 987 877 189 Av. José Aguado 41 / 24005 León / Spain

En cumplimiento del Reglamento General de Protección de Datos de la UE (Reglamento UE 2016/679, de 27 de abril de 2016) le informamos que sus datos personales, corporativos (así como los incorporados a documentos adjuntos); y dirección de correo electrónico, podrán ser incorporados en nuestros registros con la finalidad derivada de obligaciones legales, contractuales o precontractuales o bien, para responder a sus consultas, pudiendo ejercitar sus derechos de acceso, rectificación, supresión, portabilidad, limitación del tratamiento y oposición en los términos establecidos en la legislación vigente y de manera gratuita mediante correo electrónico a @.*** El responsable del tratamiento es la S.M.E. Instituto Nacional de Ciberseguridad de España M.P., S.A. Más información en nuestra web: Política de Protección de Datos Personaleshttps://www.incibe.es/proteccion-datos-personales y Registro de actividad de tratamiento de datos personaleshttps://www.incibe.es/registro-actividad.

In compliance with the General Data Protection Regulation of the EU (Regulation EU 2016/679, of 27 April 2016) we inform you that your personal and corporate data (as well as those included in attached documents); and e-mail address, may be included in our records for the purpose derived from legal, contractual or pre-contractual obligations or in order to respond to your queries. You may exercise your rights of access, correction, cancellation, portability, limitation of processing and opposition under the terms established by current legislation and free of charge by sending an e-mail to @.*** The Data Controller is S.M.E. Instituto Nacional de Ciberseguridad de España, M.P., S.A. More information is available on our website: Personal Data Protection Policyhttps://www.incibe.es/proteccion-datos-personales and Personal data processing activity loghttps://www.incibe.es/registro-actividad.

De: Antonio Rey @.> Enviado el: lunes, 5 de febrero de 2024 12:27 Para: opengnsys/OpenGnsys @.> CC: Spanish National CNA @.>; Author @.> Asunto: Re: [opengnsys/OpenGnsys] Coordinacion CVE para vulnerabilidades en OpenGnsys. (Issue #4)

PRECAUCIÓN: este mensaje proviene de fuera de la organización. Por favor, no pulse enlaces o abra adjuntos a menos que conozca al remitente o bien sepa que su contenido es seguro

Estimado equipo de INCIBE

¿Podéis generarnos los CVE? Este software lo usan 25 universidades públicas y así puede atraer más escrutinio público para que sea revisado a nivel internacional

— Reply to this email directly, view it on GitHubhttps://github.com/opengnsys/OpenGnsys/issues/4#issuecomment-1926764768, or unsubscribehttps://github.com/notifications/unsubscribe-auth/BDPWPQWT3UWXB7VDS2CZZLDYSC6W7AVCNFSM6AAAAAA7CZX6WCVHI2DSMVQWIX3LMV43OSLTON2WKQ3PNVWWK3TUHMYTSMRWG43DINZWHA. You are receiving this because you authored the thread.Message ID: @.**@.>>

arey-soleta commented 5 months ago

¿alguna novedad sobre este asunto?

INCIBE-CNA commented 5 months ago

Buenos días Antonio,

Justo hoy estamos preparando la publicación 😊

En cuanto lo tengamos te actualizamos por aquí.

Un saludo,

[logo]

INSTITUTO NACIONAL DE CIBERSEGURIDAD

SPANISH NATIONAL CYBERSECURITY INSTITUTE

INCIBE CVE Numbering Authority Team https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/asignacion-publicacion-cve @.**@.>

incibe.eshttps://incibe.es/ @INCIBE

T. +34 987 877 189 Av. José Aguado 41 / 24005 León / Spain

En cumplimiento del Reglamento General de Protección de Datos de la UE (Reglamento UE 2016/679, de 27 de abril de 2016) le informamos que sus datos personales, corporativos (así como los incorporados a documentos adjuntos); y dirección de correo electrónico, podrán ser incorporados en nuestros registros con la finalidad derivada de obligaciones legales, contractuales o precontractuales o bien, para responder a sus consultas, pudiendo ejercitar sus derechos de acceso, rectificación, supresión, portabilidad, limitación del tratamiento y oposición en los términos establecidos en la legislación vigente y de manera gratuita mediante correo electrónico a @.**@.>. Recordamos que los trabajadores tienen el derecho a la desconexión digital entendido como la libertad del trabajador a no tener que conectarse a ningún dispositivo digital o software corporativo, mientras esté en períodos de descanso o vacaciones, o fuera de horario laboral. El responsable del tratamiento es la S.M.E. Instituto Nacional de Ciberseguridad de España M.P., S.A. Más información en nuestra web: Política de Protección de Datos Personaleshttps://www.incibe.es/proteccion-datos-personales y Registro de actividad de tratamiento de datos personaleshttps://www.incibe.es/registro-actividad.

In compliance with the General Data Protection Regulation of the EU (Regulation EU 2016/679, of 27 April 2016) we inform you that your personal and corporate data (as well as those included in attached documents); and e-mail address, may be included in our records for the purpose derived from legal, contractual or pre-contractual obligations or in order to respond to your queries. You may exercise your rights of access, correction, cancellation, portability, limitation of processing and opposition under the terms established by current legislation and free of charge by sending an e-mail to @.**@.>. We remind you that workers have the right to digital disconnection, understood as the worker's freedom to not have to connect to any digital device or corporate software, while on breaks or vacations, or outside working hours. The Data Controller is S.M.E. Instituto Nacional de Ciberseguridad de España, M.P., S.A. More information is available on our website: Personal Data Protection Policyhttps://www.incibe.es/proteccion-datos-personales and Personal data processing activity loghttps://www.incibe.es/registro-actividad.

De: Antonio Rey @.> Enviado el: jueves, 11 de abril de 2024 18:16 Para: opengnsys/OpenGnsys @.> CC: Spanish National CNA @.>; Author @.> Asunto: Re: [opengnsys/OpenGnsys] Coordinacion CVE para vulnerabilidades en OpenGnsys. (Issue #4)

PRECAUCIÓN: este mensaje proviene de fuera de la organización. Por favor, no pulse enlaces o abra adjuntos a menos que conozca al remitente o bien sepa que su contenido es seguro

¿alguna novedad sobre este asunto?

— Reply to this email directly, view it on GitHubhttps://github.com/opengnsys/OpenGnsys/issues/4#issuecomment-2050053309, or unsubscribehttps://github.com/notifications/unsubscribe-auth/BDPWPQTEAQ6TMXXUHUDDXNDY42ZMNAVCNFSM6AAAAAA7CZX6WCVHI2DSMVQWIX3LMV43OSLTON2WKQ3PNVWWK3TUHMZDANJQGA2TGMZQHE. You are receiving this because you authored the thread.Message ID: @.**@.>>

INCIBE-CNA commented 5 months ago

Buenos días Antonio, compartimos los enlaces del aviso:

La información de los CVE en la web de MITRE se actualizará durante el día de hoy.

Un saludo.

arey-soleta commented 5 months ago

Gracias por el aviso.

¿Sería posible que los investigadores ofrecieran una prueba de concepto sobre los problemas de seguridad reportados?

INCIBE-CNA commented 5 months ago

Estimado Antonio.

Muchas gracias por tu correo,

¿ podríamos obtener algún punto de contacto donde enviarte los documentos de los POC de las vulnerabilidades ?.

Un cordial saludo,

arey-soleta commented 5 months ago

Puede enviarlo a opengnsys@soleta.eu

Nos encargaremos de coordinar el acceso a los PoC a otros miembros de la comunidad que lo soliciten