Zveřejnění zranitelnosti

Zveřejnění zranitelnosti

Odpovědné a transparentní zveřejnění zranitelnosti v oblasti kybernetické bezpečnosti

Žádný software ani firmware na světě není zcela imunní vůči kybernetickým hrozbám nebo lidským chybám. Klíčová je proto schopnost řešit případné incidenty transparentně, zodpovědně a v co nejkratší možné době. Interní procesy společnosti Akuvox definují přesný postup řešení zranitelností v oblasti kybernetické bezpečnosti – od detekce až po zveřejnění – u každého zjištěného incidentu.

Proces řešení a zveřejňování zranitelností

Společnost Akuvox jako vysoce odpovědný a transparentní výrobce podporuje všechny zodpovědné procesy zveřejňování a nakládání se zranitelnostmi a respektuje výsledky práce i zjištění každého bezpečnostního výzkumníka. Dokud společnost Akuvox nezveřejní formální bezpečnostní doporučení, uchovávejte prosím podrobnosti o zranitelnosti v tajnosti, abyste ochránili uživatele našich produktů a řešení.

Proces nakládání se zranitelnostmi produktů Akuvox se skládá z následujících pěti kroků:

Přijetí zranitelnosti

Shromažďujeme a přijímáme hlášení o zranitelnosti a v případě potřeby kontaktujeme oznamovatele s žádostí o pomoc.

Potvrzení zranitelnosti

Test ověření existence zranitelností a stanovení úrovní a posouzení rizik.

Vypracování plánu oprav

Vypracovat opatření zmírňující zranitelnost a vydat plán volnění opravy software.

Zveřejnit bezpečnostní upozornění

Zveřejnit bezpečnostní upozornění obsahující všechny potřebné informace na webových stránkách ASRC s přiřazeným CVE.

Shrnutí případu

Popis a shrnutí osvědčených postupů a odměna pro oznamovatele zranitelnosti na základě závažnosti zjištěné zranitelnosti.

Poznámka:

1. ASRC používá standard CVSSv3.1 a pro každou bezpečnostní zranitelnost uděluje základní skóre (Base Score) a dočasné skóre (Temporal Score).
2. Podrobnosti o standardu CVSSv3.1 naleznete na následujícím odkazu: https://www.first.org/cvss/specification-document
3. ASRC používá CVE (Common Vulnerability and Exposures) k označení informací o zranitelnosti mimo webové stránky Akuvox věnované zranitelnosti.

Přehled všech opravených zranitelností zařízení a software Akuvox

Doporučujeme provádět pravidelné aktualizace všech zařízení. Každá zranitelnost je označena CVE ID (Common Vulnerabilities and Exposures) registrovaným na cve.org, což zajišťuje její dohledatelnost, přehlednost a transparentnost.

ID	Přehled nalezených zranitelností	Datum
1	Bezpečnostní upozornění: Zranitelnosti zjištěné v některých produktech Smart Intercom	7. ledna 2026
2	Aktualizace servisního incidentu	6. ledna 2026
3	Bezpečnostní upozornění: Zveřejnění zranitelnosti produktu Akuvox řady E11	22. března 2023
4	Aktualizace firmware interkomu E11	21. března 2023
5	Aktualiace zranitelnosti interkomu E11 (výzkumná zpráva o zranitelnostech od společnosti Clarot)	13. března 2023

Hlášení zranitelnosti

Pokud jste bezpečnostní výzkumník a domníváte se, že jste objevili zranitelnost, doporučujeme vám ji nahlásit písemně na adrese asrc@akuvox.com.

∗Abychom ochránili uživatele našich produktů a řešení, doufáme, že nebudete zranitelnosti zveřejňovat ani šířit před jejich opravou.
*Vzhledem k citlivosti informací o zranitelnostech důrazně doporučujeme používat náš veřejný klíč PGP.