u-blox 始终将客户和用户的安全放在首位。 我们致力于不断改进产品,专注于满足不断变化的市场需求、技术突破、层出不穷的威胁面和攻击载体。 本负责任的披露政策旨在识别并及时解决 u-blox 相关硬件、软件或服务(以下简称“u-blox 产品”)的新漏洞和安全问题。
您可使用此平台报告任何 u-blox 产品 ( 不包括 生命周期已结束的 u-blox 产品/服务 )的漏洞/安全问题。此外,针对部分 u-blox 服务,我们与 BugCrowd 合作运营了一项仅限邀请的漏洞奖励计划,您可在 Bugcrowd 上申请加入 u-blox 漏洞奖励计划。
我们的《负责任的披露政策》可促进机构及个人秉诚报告产品和服务漏洞,而不会受到惩罚。 但是严禁有针对性的、恶意的或持续的攻击,如有发生,将依照相关法律报告有关部门。
如何报告
如果您目前为 u-blox 的客户,您可前往 u-blox 技术支持论坛,在线提交一份漏洞/安全问题报告。
如果您参加了上报漏洞奖励计划,则请通过Bugcrowd平台报告您的发现。 若为其余情况,您可通过下列方式联系我们:security@u-blox.com。
通过电子邮件报告安全问题时,请不要在初始邮件中向我们发送任何与安全问题有关的信息。 请向我们发送以下信息:
PGP 公共秘钥和指纹: 359F 2E00 85CF 57DF 45B5 3970 B106 63C8 757F 1A21
建立安全通信后,请向我们发送下列信息,帮助我们解决问题:
只需提供 u-blox 正确分析漏洞/安全问题所需的信息,请不要提交任何个人信息或敏感个人信息。 所有个人资料都将根据 u-blox 的隐私政策进行处理。
u-blox 将评估每份已收到的报告。 在收到您的消息后,我们将采取下列行动:
为了防止他人在我们制定好解决方案或修复程序之前恶意利用已报告的漏洞/安全问题,我们恳请您在 u-blox 允许后再披露漏洞/安全问题。
除了仅限邀请的漏洞奖励计划的奖励外,在获得您的授权后,我们可能将您写入下文的致谢章节,以示对您提供漏洞/安全问题的诚挚谢意。 同时也请您注意,您所提供的漏洞/安全问题适用于 u-blox 网站的条款和条件,因此,u-blox 可使用在任何商业环境下提供的信息。
我们谨此向所有报告 u-blox 基础架构或产品安全问题的个人及公司致以诚挚的谢意。
2022
Shrirang Diwakar |
2021
Talha Saleem | |||
个人 |
2020
Ronak Nahar | Aishwarya Kendle | Ali Razzaq | Mohammed Adam |
个人 | 个人 | 个人 | 个人 |
Usama Abid | Avi Chakravarti | Badal Sardhara | Merbin Russel |
个人 | 个人 | 个人 | 个人 |
我们持续监控和调查已报告的安全问题。 本节将介绍我们发布的与 u-blox 产品有关的、业已确定安全漏洞。
漏洞 | 存在安全漏洞的产品 | 建议 |
帧聚合(FRAG) |
EMMY-W1 系列产品, |
请参见信息说明。 部分产品修复安全隐患的新固件现已上线。u-blox 团队正在更新其它产品的固件版本。 |
蓝牙-WiFi共存旁路漏洞 |
JODY-W1 系列产品 | 请参见信息说明。 用于修正问题的新固件现已上线。 |
CVE-2019-16336, CVE-2019-17519, CVE-2019-17517, CVE-2019-17518, CVE-2019-17520, CVE-2019-19195, CVE-2019-19196, CVE-2019-17061, CVE-2019-17060, CVE-2019-19192, CVE-2019-19193, CVE-2019-19194 (Sweyntooth) |
JODY-W1, |
请参见信息说明。 用于修正问题的新固件现已上线。 |
nRF52 芯片故障注入 |
ANNA-B1 系列产品, | 请参见信息说明中的设计考量因素和产品建议。 |
CVE-2019-15126 (Kr00k) | JODY-W1 系列 | 请参见 信息说明。 用于修正问题的新固件现已上线 |
CVE-2019-9506 (KNOB) |
NINA-B2 系列, |
请参见此处可用的产品文档: |
蓝牙配对模式混乱 | All Bluetooth products | 请遵循 BT-SIG 提出的以下建议 (LE, BR/EDR) |
通过 u-blox TOBY-L2 串行接口执行命令 |
TOBY-L200 TOBY-L201 TOBY-L210 TOBY-L220 TOBY-L280 | TOBY-L2 的输入验证存在漏洞,允许用户使用专门制作的 AT 命令执行任意操作系统命令。客户应确保 TOBY-L2 串行端口仅对设备内部应用程序可用,且应用程序仅允许使用经过验证的 AT 命令。有关产品特定的安全补丁,请通过客户支持门户联系 u-blox。 |