42mediagroup.com
42mediagroup.com

Die 42media group setzt alles daran, Produkte für Digital Signage Infrastrukturen zu erstellen, die unsere Kunden auch in den kritischsten Unternehmensbereichen einsetzen können. Wir sind der Ansicht, dass unsere Kunden diese Produkte erst dann bedenkenlos einsetzen können, wenn diese die höchsten Sicherheitsanforderungen erfüllen. Diese 42media group Sicherheitsrichtlinie dokumentiert unseren Einsatz für die Eliminierung möglicher Schwachstellen in unseren Produkten, so dass unsere Kunden die Gewissheit haben, dass etwaige Probleme schnell behoben werden.

42media group über eine Schwachstelle informieren

 
42media group ermutigt alle Anwender, denen eine Sicherheitslücke in einem 42media group Produkt bekannt wird, 42media group Details hierüber zukommen zu lassen. 42media group hat zu diesem Zweck eine E-Mail-Adresse eingerichtet. Senden Sie Informationen zu Schwachstellen an Sicherheit. Fügen Sie Details zur Software- und Hardware-Konfiguration Ihres Systems hinzu, so dass wir das betreffende Problem reproduzieren können. Wir ermutigen unsere Kunden außerdem, das Support-Anforderungssystem auf unserer Webseite zu nutzen, um uns auf Schwachstellen hinzuweisen.

 

Anwender, die neue Schwachstellen entdecken, sollten sich vertraulich an uns wenden, da es im Interesse unserer Kunden liegt, dass 42media group die Möglichkeit erhält, eine etwaige Schwachstelle zu untersuchen und zu bestätigen, bevor diese öffentlich bekannt wird.

 

Sollten Sie in den Softwarekomponenten von Drittanbietern, die in 42media group-Produkten verwendet werden, eine Schwachstelle entdecken, benachrichtigen Sie 42mediagroup bitte ebenfalls wie zuvor beschrieben.

 

 

Klassen von Schwachstellen in 42media group-Produkten

 

Priorität 1

  • Schwachstellen, die die Rechte lokaler Benutzer oder Prozesse auf dem System erweitern
  • Schwachstellen, die einen Remote-Zugriff auf das System ermöglichen (einschließlich Pufferüberläufe, die die Ausführung von Fremdcode auf dem System ermöglichen)
  • Schwachstellen, die lokale Dateien und Dateiberechtigungen zur 42media group-Anwendung und den Dateien auf dem System manipulieren
  • Schwachstellen, die zum Blockieren des Systems oder zu Ausfällen mit unbestimmter Dauer führen

 

Priorität 2

  • Schwachstellen, die das Anmelden/Authentifizieren am System verhindern bzw. erzwingen
  • Schwachstellen, die zu unerwünschter Speicherbelegung führen oder den Speicherplatz sowie andere Systemressourcen belegen
  • Schwachstellen, die zum Blockieren oder zu Ausfällen mit unbestimmter Dauer führen
  • Schwachstellen, die die Rechte lokaler Benutzer oder Prozesse auf dem System erweitern

 

Priorität 3

  • Schwachstellen, die das Anmelden/Authentifizieren am System verhindern bzw. erzwingen
  • Schwachstellen, die zu unerwünschter Speicherbelegung führen oder den Speicherplatz sowie andere Systemressourcen belegen
  • Schwachstellen, die die Konfigurationsinformationen auf dem Server- oder Player gefährden oder persönliche Daten offen legen
  • Schwachstellen in der Remote Client-Software von 42media group, einschließlich kryptografischer Schwächen, Man-in-the-Middle-Angriffen und anderer Probleme, die die Verwendung "bösartiger" 42media group Systeme erfordern
  • Aufgaben von 42media group im Fall öffentlich bekannt gewordener Schwachstellen
  • Überwachung der Quellen von Sicherheitsschwachstellen

 

42media group überwacht verschiedene öffentliche Informationsquellen zu Software-Schwachstellen, um neue Probleme, die eines unserer Produkte betreffen könnten, zu identifizieren. Folgende Quellen werden überwacht:

 

Die Bugtraq-Mailing-Liste und Archive unter http://www.securityfocus.com/archive/1

 
Die Webseite des Computer Emergency Response Teams unter http://www.cert.org/

 
Die Neohapsis-Sicherheitsarchive unter http://archives.neohapsis.com/

 

Webseiten von Unternehmen und Organisationen, die die in 42media group Produkten verwendeten Komponenten herstellen

 


Berichte an Sicherheit

 


Maßnahmen

Die Reaktion von 42media group auf eine öffentlich bekannt gewordene Schwachstelle umfasst die nachfolgend beschriebenen Maßnahmen.

 

Bestätigung und erste Analyse

 
Der erste Schritt von 42media group besteht in einer Veröffentlichung in der 42media group Knowledge Base. Hierdurch wird bestätigt, dass 42media group die gemeldete Schwachstelle bekannt ist. Der in der Knowledge Base veröffentlichte Artikel enthält auch Verweise auf die öffentlichen Quellen der Schwachstellenmeldung. Nach Möglichkeit enthält dieser Artikel in der Knowledge Base Anleitungen dazu, wie die Anwender ihr 42media group System schützen können. Werden keine Korrekturmaßnahmen aufgeführt, enthält der Artikel in der Knowledge Base einen Hinweis auf den Zeitrahmen, der für die Bereitstellung eines Fixes durch 42media group zu erwarten ist.

 

Wurde die Schwachstelle zuerst über eine Webseite oder Mailing-Liste gemeldet, veröffentlicht 42media group dort einen Hinweis auf die Knowledge Base. 42media group signiert alle Veröffentlichungen in externen Mailing-Listen digital, um die Authentizität zu gewährleisten.

 

Sollte 42media group nachweisen können, dass die gemeldete Schwachstelle nicht existiert, wird ein entsprechender Hinweis in der 42media group Knowledge Base sowie auf den Quellen-Webseiten/Mailing-Listen veröffentlicht.

 

Fix oder Korrekturmaßnahme

 
Der nächste Schritt von 42media group umfasst die Veröffentlichung eines Fixes zur gemeldeten Schwachstelle. Dieser Fix kann in einer oder mehreren der folgenden Formen vorliegen:

 

  • Eine neue Hauptversion des betroffenen 42media group Produkts
  • Eine neue Unterversion ("Punktversion") des betroffenen 42media group Produkts
  • Ein Patch, der zusätzlich zum betroffenen 42media group Produkt installiert werden kann
  • Anweisungen zum Herunterladen und Installieren eines Updates oder Patches zu einer Software-Komponente eines Drittanbieters, die Teil der 42media group Produktinstallation ist
  • Eine Korrekturmaßnahme oder Behelfslösung mit Anweisungen, nach denen die Anwender die Konfiguration des 42media group Produkts so ändern können, dass die Schwachstelle beseitigt wird
  • Kundenbenachrichtigung durch 42media group

 

Steht ein Fix/eine Korrekturmaßnahme zur Verfügung, benachrichtigt 42media group seine Kunden wie folgt:

 

Alle 42media group Kunden, die für das betreffende Produkt registriert sind, werden per E-Mail benachrichtigt. Die E-Mail wird an alle registrierten 42media group Lizenzadministratoren und Support-Administratoren versendet. Der Versand erfolgt auch dann, wenn diese in ihrem 42media group Kundenprofil angegeben haben, keine E-Mail von 42media group erhalten zu wollen. Diese Benachrichtigungsrichtlinie entspricht der 42media group-Datenschutzrichtlinie.
Details zum Fix/zur Korrekturmaßnahme werden in der 42media group Knowledge Base veröffentlicht. Ähnliche Informationen werden auf der Quellen-Webseite bzw. in den Mailing-Listen veröffentlicht.

 


Produktversionen, die von 42media group korrigiert werden

 
Eine 42media group Produktversion besteht aus drei Zahlen im Format x.y.z. Die Ziffer an der Position x bezeichnet eine Hauptversion. Die Ziffer an der Position y bezeichnet eine Unterversion oder ein Produkt-Update. Die Ziffer an der Position z bezeichnet eine Unterversion zu Wartungszwecken.

 

42media group bietet Fixes für Sicherheitslücken bzw. Korrekturmaßnahmen für die jeweils letzten Ausgaben der unterstützten Hauptversionen eines Produkts. (Siehe hierzu die 42media group-Support-Richtlinie. Hier finden Sie eine Erläuterung der von 42media group unterstützten Produktversionen.) Lautet die Versionsnummer des zuletzt ausgelieferten Produkts beispielsweise 5.2.0, stellt 42media group eine Korrekturmaßnahme/einen Patch für die Version 5.2.0 bzw. einen Fix für die Unterversionen 5.2.1 oder 5.3.0 bereit. Diese trägt dann die Versionsnummer 5.1.1. Wird eine frühere Version mit der Nummer 4.5.0 noch immer von 42media group unterstützt, stellt 42media group eine Korrekturmaßnahme/einen Patch für die Version 4.5.0 bzw. einen Fix mit der Unterversion 4.5.1 zur Verfügung.

 

Reaktionsverpflichtungen

 
Die verbindliche Reaktionszeit von 42media group variiert je nach Prioritätsstufe der gemeldeten Schwachstelle.

 

Priorität 1
42media group beginnt sofort mit der Entwicklung eines Fixes/einer Korrekturmaßnahme. 42media group stellt den Kunden den Fix/die Korrekturmaßnahme in der aus kommerzieller Sicht kürzestmöglichen Zeit zur Verfügung.

 

Priorität 2
42media group liefert einen Fix/eine Korrekturmaßnahme mit der nächsten geplanten Unterversion des Produkts aus.

 

Priorität 3
42media group liefert einen Fix/eine Korrekturmaßnahme mit der nächsten geplanten Hauptversion des Produkts aus.

 

Komponenten von Drittanbietern

 
Schwachstellen in den Software-Komponenten von 42media group, die von Drittanbietern stammen, werden von 42media group so wie die übrigen Schwachstellen bestätigt und analysiert. Bei Komponenten, die 42media group ohne Änderungen des Quellcodes übernimmt, stellt 42media group einen Fix zur Verfügung, sobald dieser vom jeweiligen Drittanbieter veröffentlicht wird.

 

Kundenzugriff auf Software-Versionen mit Sicherheits-Fixes

 
42media group-Kunden mit aktivem Support- und Wartungsservice für ein Produkt sind berechtigt, alle neuen Patches und Versionen (Haupt- und Unterversionen) eines Produkts zu erhalten, wenn diese Sicherheits-Fixes umfassen. 42media group Kunden ohne aktive Support- und Wartungsverträge sind für einen Zeitraum von 12 Monaten ab Kauf berechtigt, Unterversionen und Patches zu erhalten.

 
42mediagroup.com
Follow us on Twitter