我们使用有效的漏洞管理来帮助提高产品和解决方案的安全性。
漏洞管理
我们在特灵科技工作的核心是,“正确行事,始终如一”,它包括了如何服务、支持和保护我们的客户。
特灵科技产品安全事件响应小组提供了一种严格的漏洞披露和通知方案。我们寻求以负责任的有效的方式验证、分析和缓解潜在漏洞,以最大限度地降低客户的风险。我们鼓励安全研究人员、行业组织、第三方配件供应商和我们的客户就任何潜在漏洞与我们取得联系。
我们会与通过漏洞披露流程报告潜在漏洞的个人和研究人员真诚合作,遵守适用法律,避免在测试过程中对他人造成伤害。在报告方同意的情况下,我们将对个人的漏洞报告以及与特灵科技的合作表示感谢。
漏洞披露流程
特灵科技具备高协同性的漏洞披露程序,即只有在责任方有足够的时间修补漏洞后,才向公众披露漏洞或问题。保护客户是特灵科技的首要任务之一,我们努力及时解决提交的每个漏洞。在这样做的同时,我们要求对提交的漏洞信息保密,不得披露给第三方,也不得作为论文审查或会议陈词的一部分。对于您提交的潜在漏洞,特灵科技将会在解决后通知您。
特灵科技保留根据相关原则和适用法律的要求随时修改披露流程和提交条款的权利。
产品安全咨询
|
识别号
|
产品名称
|
品牌
|
CVE
|
描述
|
最终更新日期
|
文档
|
CSAF
|
|---|---|---|---|---|---|---|---|
|
ID-2023-01
|
XL824, XL850, XL1050, and Pivot thermostats
|
Trane
|
CVE-2023-4212
|
CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection')
CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') |
6-Nov-23
|
N/A
|
|
|
ID-2021-02
|
Tracer SC, Tracer SC+, Tracer Concierge
|
Trane
|
CVE-2021-38450
|
CWE-94: Improper Control of Generation of Code ('Code Injection')
|
10-Jul-23
|
N/A
|
|
|
ID-2021-02
|
Tracer SC
|
Trane
|
CVE-2021-42534
|
CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
|
27-Oct-21
|
N/A
|
|
|
ID-2021-01
|
Symbio 700, Symbio 800
|
Trane
|
CVE-2021-38448
|
CWE-94: Improper Control of Generation of Code ('Code Injection')
|
10-May-22
|
N/A
|
|
|
ID-2017-02
|
Trane Comfort Link II
|
Trane
|
CVE-2015-2867
|
CWE-798: Use of Hard-coded Credentials
|
10-Jan-17
|
N/A
|
|
|
ID-2017-01
|
Trane Comfort Link II
|
Trane
|
CVE-2015-2868
|
CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer
|
10-Jan-17
|
N/A
|
|
|
ID-2016-01
|
Trane Tracer SC
|
Trane
|
CVE-2016-0870
|
CWE-200: Exposure of Sensitive Information to an Unauthorized Actor
|
28-Nov-16
|
N/A
|
通过报告我们的投资组合或数字平台中的潜在漏洞,帮助我们不断提高网络安全。
请填写表格,以便可以让您与相应的特灵科技事件响应团队直接联系。
以下提交条款适用于向特灵科技提交的文件。通过使用此表格向特灵科技提交漏洞披露,您:
备注:我们的产品安全事件响应小组将与您联系,以便他们能够从您那里获得有关此报告漏洞的更多详细信息。
中文