产品安全

有效的漏洞管理

我们使用有效的漏洞管理来帮助提高产品和解决方案的安全性。

漏洞管理

我们在特灵科技工作的核心是,“正确行事,始终如一”,它包括了如何服务、支持和保护我们的客户。

特灵科技产品安全事件响应小组提供了一种严格的漏洞披露和通知方案。我们寻求以负责任的有效的方式验证、分析和缓解潜在漏洞,以最大限度地降低客户的风险。我们鼓励安全研究人员、行业组织、第三方配件供应商和我们的客户就任何潜在漏洞与我们取得联系。

我们会与通过漏洞披露流程报告潜在漏洞的个人和研究人员真诚合作,遵守适用法律,避免在测试过程中对他人造成伤害。在报告方同意的情况下,我们将对个人的漏洞报告以及与特灵科技的合作表示感谢。

漏洞披露流程

特灵科技具备高协同性的漏洞披露程序,即只有在责任方有足够的时间修补漏洞后,才向公众披露漏洞或问题。保护客户是特灵科技的首要任务之一,我们努力及时解决提交的每个漏洞。在这样做的同时,我们要求对提交的漏洞信息保密,不得披露给第三方,也不得作为论文审查或会议陈词的一部分。对于您提交的潜在漏洞,特灵科技将会在解决后通知您。

特灵科技保留根据相关原则和适用法律的要求随时修改披露流程和提交条款的权利。

产品安全咨询

识别号
产品名称
品牌
CVE
描述
最终更新日期
文档
CSAF
ID-2023-01
XL824, XL850, XL1050, and Pivot thermostats
Trane
CVE-2023-4212
CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection')

CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection')
6-Nov-23
N/A
ID-2021-02
Tracer SC, Tracer SC+, Tracer Concierge
Trane
CVE-2021-38450
CWE-94: Improper Control of Generation of Code ('Code Injection')
10-Jul-23
N/A
ID-2021-02
Tracer SC
Trane
CVE-2021-42534
CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
27-Oct-21
N/A
ID-2021-01
Symbio 700, Symbio 800
Trane
CVE-2021-38448
CWE-94: Improper Control of Generation of Code ('Code Injection')
10-May-22
N/A
ID-2017-02
Trane Comfort Link II
Trane
CVE-2015-2867
CWE-798: Use of Hard-coded Credentials
10-Jan-17
N/A
ID-2017-01
Trane Comfort Link II
Trane
CVE-2015-2868
CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer
10-Jan-17
N/A
ID-2016-01
Trane Tracer SC
Trane
CVE-2016-0870
CWE-200: Exposure of Sensitive Information to an Unauthorized Actor
28-Nov-16
N/A

报告潜在产品漏洞

通过报告我们的投资组合或数字平台中的潜在漏洞,帮助我们不断提高网络安全。

请填写表格,以便可以让您与相应的特灵科技事件响应团队直接联系。

以下提交条款适用于向特灵科技提交的文件。通过使用此表格向特灵科技提交漏洞披露,您:

  • 同意在特灵科技发布相关安全通知或版本说明之前,不披露参与细节和有关潜在漏洞的信息;
  • 授予特灵科技对您提交内容的非排他性、不可撤销、永久性、免版税、全球知识产权的可分性许可:(i)使用、审查、评估、测试和以其它方式分析您提交的内容;(ii)全部或部分复制、修改、分发、公开展示,并将提交文件及其所有内容的衍生作品商业化和再创作;
  • 同意签署我们或我们的指定人员可能需要的任何文件,以确认您授予的上述权利;
  • 理解并承认特灵科技可能开发或委托了与您提交的材料相似或相同的材料,您放弃因与您提交材料相似而产生的任何索赔;
  • 请理解我们不会为您的提交提供金钱补偿,也不能保证会因您的提交内容而获得任何信用额度;
  • 请保证提交的内容是出自您自己,并没有使用他人或其它实体拥有的信息,您没有违反任何法律或采取任何与您提交内容相关的非法行动,并且您有向特灵科技提供所提交内容的合法权利;
  • 您了解只有在特灵科技通知您已披露了相关漏洞的信息后,才可以选择公开您在漏洞识别过程中的角色。

备注:我们的产品安全事件响应小组将与您联系,以便他们能够从您那里获得有关此报告漏洞的更多详细信息。

请确认您已阅读、理解并同意以下内容:
请选择图片