Seems like there is a more localized page available for your location.
Store

Shrnutí košíku ()

Celkem (undefined položek)Vč. DPH undefined%. Poštovné bude vypočítáno při placení.

Pokračovat v nákupu

Řada Bee od Synology
Produkty od A do Z
Store
Program odměn za nalezení chyb v zabezpečení
Jelikož se hrozby vyvíjejí a jejich frekvence i sofistikovanost se zvyšují, snaží se společnost Synology ve spolupráci s výzkumníky v oblasti zabezpečení udržovat a dále posilovat svoji ochranu.
Rozsah produktůTento program přijímá pouze hlášení o zranitelnostech souvisejících s produkty a webovými službami Synology. Hlášení o zranitelnostech, které nespadají do rozsahu programu, obvykle nevytvářejí nárok na odměny; podle situace ale mohou být přijata i hlášení o kritických zranitelnostech, které do rozsahu nespadají.

Operační systémy

Odměny do částky

30 000 USD

Sem patří systémy Synology DiskStation Manager, Synology Router Manager a Synology BeeStation.

Další informace

Software a služby C2 Cloud

Odměny do částky

10 000 USD

Sem patří softwarové balíčky vyvinuté společností Synology, související mobilní aplikace a služby C2 Cloud.

Další informace

Webové služby

Odměny do částky

5 000 USD

Sem patří všechny významné webové služby Synology.

Další informace
Podrobnosti o odměnách
Kritéria pro získání nároku na odměnu
Poskytněte jakékoliv informace, které jsou potřeba k reprodukování nahlášených problémů. Velikost odměny závisí na závažnosti nahlášené zranitelnosti a na kategorii postiženého produktu.Abyste za hlášení získali nárok na peněžní odměnu, musí splňovat následující kritéria:
  1. Jste prvním výzkumníkem, který tuto zranitelnost nahlásil
  2. Potvrdí se, že nahlášená zranitelnost představuje ověřitelný, reprodukovatelný a platný problém se zabezpečením
  3. Vaše hlášení splňuje podmínky programu odměn
Nahlašování bezpečnostních chybPokud se domníváte, že jste zjistili nějakou zranitelnost, postupujte podle následujících pokynů:
Krok 1

Obraťte se na nás pomocí kontaktního formuláře programu odměn.

Krok 2

Při odesílání hlášení o chybách do společnosti Synology zašifrujte odesílané informace pomocí tohoto klíče PGP.

Krok 3

Přiložte podrobné ověření konceptu (PoC) a přesvědčte se, že je možné nahlašované problémy reprodukovat.

Krok 4

Popis by měl být stručný. Například odkaz na stručné ověření konceptu se cení více než video s vysvětlením důsledků problému SSRF.

Vaše a naše odpovědnostVaše hlášeníAby se zkrátila doba zpracování, měla by dobrá hlášení o zranitelnosti:
  1. Obsahovat srozumitelný a podrobný popis způsobu, jakým lze zranitelnost reprodukovat, v angličtině
  2. Demonstrovat, jakým způsobem tato zranitelnost ovlivňuje produkty nebo webové služby Synology, a uvést, které verze a platformy jsou touto zranitelností postiženy
  3. Uvést potenciální škody, které by nahlášená zranitelnost mohla způsobit
Naše odpověď
Bezpečnostní tým Synology odpoví na vaši hlášení do 7 dní, bude jeho stav pravidelně aktualizovat a podle závažnosti uvedené hrozby zajistí co nejrychlejší opravu této zranitelnosti.Pokud za vaši hlášení o zranitelnosti získáte nárok na peněžní odměnu, bude vaše jméno jako výraz našeho uznání uvedeno na stránce Security Advisor pro produkty Synology na našich oficiálních webových stránkách.Tento proces bude trvat alespoň 90 dní. Odměnu vám převedeme po dokončení tohoto procesu.
Poznámky:Společnost Synology si vyhrazuje právo tento program, včetně jeho zásad, bez předchozího oznámení kdykoli změnit nebo zrušit.
Operační systémy
Odměna

Způsobilá hlášení mohou být odměněna částkou až 30 000 USD.*

Produkty spadající do rozsahu

Přijímáme pouze hlášení týkající se oficiálně vydaných verzí.

DiskStation Manager (DSM)

  • DSM 7 (nejnovější verze)

Synology Router Manager (SRM)

  • SRM 1.3 (nejnovější verze)

Firmware pro zařízení Synology Camera

  • Firmware 1.1 (nejnovější verze)

Synology BeeStation

  • BeeStation OS 1.0 (nejnovější verze)
Předpisy a omezení

Tento program je omezen výhradně na zranitelnosti zabezpečení nalezené v produktech a službách společnosti Synology. Akce, které by mohly potenciálně poškodit nebo nepříznivě ovlivnit servery nebo data společnosti Synology, jsou přísně zakázány. Testování zranitelnosti nesmí porušovat místní ani tchajwanské zákony.

V rámci tohoto programu nebudou přijaty žádná hlášení o zranitelnostech, jestliže budou popisovat nebo zahrnovat:

  1. Útoky DoS (Denial of Service) na servery Synology nebo na servery uživatelů
  2. Testování zranitelnosti se škodlivým dopadem na servery Synology nebo data uživatelů
  3. Fyzické útoky nebo sociální inženýrství
  4. Zveřejnění informací o chybách před schválením společností Synology
  5. Nekritické zranitelnosti v zastaralých službách nebo produktech
  6. Zranitelnosti postihující pouze zastaralé webové prohlížeče
  7. Většina typů útoků hrubou silou
  8. Útoky Reflected XSS nebo Self XSS
  9. Zranitelnosti zahrnující fishing, vytváření falešných webových stránek nebo páchání podvodů
  10. Hlášení o vyhledávání zranitelností, které neobsahují podrobnosti o dopadech zranitelnosti
  11. Oznámení, že jsou zranitelné výchozí porty, ale bez uvedení PoC
  12. Teoretické zranitelnosti bez uvedení konkrétního ověření konceptu (PoC)
  13. Samotná otevřená přesměrování se obvykle považují pouze za informační a nevytvářejí nárok na odměnu, pokud ovšem nepřispívají k nějaké významnější zranitelnosti
  14. Chybějící záhlaví zabezpečení, která nevedou přímo ke zneužití
  15. Chybějící příznaky zabezpečení v souborech cookie
  16. Výčet uživatelů. Hlášení uvádějící výčet uživatelů do tohoto rozsahu nespadají, pokud ovšem nemůžete prokázat, že nemáme žádná omezení rychlosti zajišťující ochranu našich uživatelů.
*Další podrobnosti jsou uvedeny na stránce Podrobnosti o odměnách na webové stránce programu hledání bezpečnostních chyb.
**Maximální odměna za zranitelnosti v operačním systému SRM_LAN je 5000 USD.
***Maximální odměna za zranitelnosti ve firmwaru kamery je 10 000 USD.
Software a služby C2 Cloud
Odměna

Způsobilá hlášení mohou být odměněna částkou až 10 000 USD.*

Produkty spadající do rozsahu

Přijímáme pouze hlášení týkající se oficiálně vydaných verzí.

Balíčky

Softwarové balíčky vyvinuté společností Synology

Počítačoví klienti

Aplikace pro systémy Windows, macOS a Linux vyvinuté společností Synology

Mobilní aplikace

Mobilní aplikace pro systémy Android a iOS vyvinuté společností Synology

Účet Synology

  • Domény *.account.synology.com
  • Domény *.identity.synology.com

Služby C2

Domény *.c2.synology.com

Předpisy a omezení

Tento program je omezen výhradně na zranitelnosti zabezpečení nalezené v produktech a službách společnosti Synology. Akce, které by mohly potenciálně poškodit nebo nepříznivě ovlivnit servery nebo data společnosti Synology, jsou přísně zakázány. Testování zranitelnosti nesmí porušovat místní ani tchajwanské zákony.

V rámci tohoto programu nebudou přijaty žádná hlášení o zranitelnostech, jestliže budou popisovat nebo zahrnovat:

  1. Útoky DoS (Denial of Service) na servery Synology nebo na servery uživatelů
  2. Testování zranitelnosti se škodlivým dopadem na servery Synology nebo data uživatelů
  3. Fyzické útoky nebo sociální inženýrství
  4. Zveřejnění informací o chybách před schválením společností Synology
  5. Nekritické zranitelnosti v zastaralých službách nebo produktech
  6. Zranitelnosti postihující pouze zastaralé webové prohlížeče
  7. Většina typů útoků hrubou silou
  8. Útoky Reflected XSS nebo Self XSS
  9. Zranitelnosti zahrnující fishing, vytváření falešných webových stránek nebo páchání podvodů
  10. Hlášení o vyhledávání zranitelností, které neobsahují podrobnosti o dopadech zranitelnosti
  11. Oznámení, že jsou zranitelné výchozí porty, ale bez uvedení PoC
  12. Teoretické zranitelnosti bez uvedení konkrétního ověření konceptu (PoC)
  13. Samotná otevřená přesměrování se obvykle považují pouze za informační a nevytvářejí nárok na odměnu, pokud ovšem nepřispívají k nějaké významnější zranitelnosti
  14. Chybějící záhlaví zabezpečení, která nevedou přímo ke zneužití
  15. Chybějící příznaky zabezpečení v souborech cookie
  16. Výčet uživatelů. Hlášení uvádějící výčet uživatelů do tohoto rozsahu nespadají, pokud ovšem nemůžete prokázat, že nemáme žádná omezení rychlosti zajišťující ochranu našich uživatelů.
*Další podrobnosti jsou uvedeny na stránce Podrobnosti o odměnách na webové stránce programu hledání bezpečnostních chyb.
Webové služby
Odměna

Způsobilá hlášení mohou být odměněna částkou až 5 000 USD.*

Produkty spadající do rozsahu

Do rozsahu spadají následující domény (včetně poddomén):

*.synology.com

Následující domény (včetně poddomén) do rozsahu nespadají:

openstack-ci-logs.synology.com, router.synology.com

Společnost Synology si vyhrazuje právo tento seznam kdykoliv a bez předchozího upozornění měnit.

Předpisy a omezení

Tento program je omezen výhradně na zranitelnosti zabezpečení nalezené v produktech a službách společnosti Synology. Akce, které by mohly potenciálně poškodit nebo nepříznivě ovlivnit servery nebo data společnosti Synology, jsou přísně zakázány. Testování zranitelnosti nesmí porušovat místní ani tchajwanské zákony.

V rámci tohoto programu nebudou přijaty žádná hlášení o zranitelnostech, jestliže budou popisovat nebo zahrnovat:

  1. Útoky DoS (Denial of Service) na servery Synology nebo na servery uživatelů
  2. Testování zranitelnosti se škodlivým dopadem na servery Synology nebo data uživatelů
  3. Fyzické útoky nebo sociální inženýrství
  4. Zveřejnění informací o chybách před schválením společností Synology
  5. Procházení adresářů na webu https://*archive.synology.com
  6. Reflected file download
  7. Problémy se zachytáváním bannerů nebo zveřejnění verze softwaru
  8. Zranitelnost nultého dne zveřejněná do 90 dnů
  9. Nekritické zranitelnosti v zastaralých službách nebo produktech
  10. Zranitelnosti postihující pouze zastaralé webové prohlížeče
  11. Většina typů útoků hrubou silou
  12. Útoky Reflected XSS nebo Self XSS
  13. Zranitelnosti zahrnující fishing, vytváření falešných webových stránek nebo páchání podvodů
  14. Hlášení o skenování zranitelností, které neobsahují podrobnosti o dopadech zranitelnosti
  15. Označení výchozích portů jako zranitelných, ale bez uvedení PoC
  16. Teoretické zranitelnosti bez uvedení konkrétního ověření konceptu (PoC)
  17. Samotná otevřená přesměrování se obvykle považují pouze za informační a nevytvářejí nárok na odměnu, pokud ovšem nepřispívají k nějaké významnější zranitelnosti
  18. Chybějící záhlaví zabezpečení, která nevedou přímo ke zneužití
  19. Chybějící příznaky zabezpečení v souborech cookie
  20. Výčet uživatelů. Hlášení uvádějící výčet uživatelů do tohoto rozsahu nespadají, pokud ovšem nemůžete prokázat, že nemáme žádná omezení rychlosti zajišťující ochranu našich uživatelů.
*Další podrobnosti jsou uvedeny na stránce Podrobnosti o odměnách na webové stránce programu hledání bezpečnostních chyb.
Podrobnosti o odměnách
Tato stránka slouží k tomu, aby se výzkumníci seznámili se s potenciálními maximálními odměnami za konkrétní typy zranitelností a upozorňuje, kterých typů zranitelností si společnost Synology nejvíce cení. Vážíme si vašich příspěvků a významné příspěvky k výzkumu zabezpečení spravedlivě odměníme.Odměny uvedené v tabulce představují maximální možnou částku u každé kategorie, není však zaručeno, že všechna způsobilá hlášení uvedenou částku obdrží.*
Naléhavé
Operační systémySoftware a služby C2 CloudWebové služby
Zero-click pre-auth RCE30 000 USD10 000 USD5 000 USD
Zero-click pre-auth arbitrary file r/w9 000 USD4 600 USD2 400 USD
Důležité
Operační systémySoftware a služby C2 CloudWebové služby
1-click pre-auth RCE8 000 USD4 000 USD2 000 USD
Zero-click normal-user-auth RCE7 500 USD3 900 USD1 900 USD
Zero-click normal-user-auth arbitrary file r/w6 500 USD3 400 USD1 700 USD
Zero-click pre-auth RCE (AC:H)6 500 USD3 400 USD1 700 USD
1-click pre-auth RCE (AC:H)5 000 USD2 500 USD1 325 USD
pre-auth SQL injection3 800 USD1 950 USD1 025 USD
1-click normal-user-auth RCE (AC:H)2 600 USD1 350 USD725 USD
pre-auth stored XSS2 600 USD1 350 USD725 USD
Střední
Operační systémySoftware a služby C2 CloudWebové služby
normal-user-auth stored XSS1 350 USD733 USD417 USD
normal-user-auth SQL injection1 200 USD607 USD353 USD
admin-auth vulnerabilities100 USD100 USD100 USD
  1. Od 1. října 2024 budou odměny za odhalení zranitelnosti ověřování na úrovni správce nastaveny na 100 USD.
  2. Pokud u počítačových klientů obsahuje vektor CVSS (Common Vulnerability Scoring System) cokoli z níže uvedeného, odměna je nastavena na 100 USD:
    • AV:L
    • AV:A
    • AV:N/AC:H

Poznámky:

  • Přestože existují vodítka týkající se odměn, bude každé nahlášení zpracováno a důkladně vyhodnoceno individuálně. Při hodnocení se berou v úvahu různé faktory, mimo jiné rozsah podrobně popsaný v části o odměnách. Společnost Synology si vyhrazuje právo na konečnou interpretaci výše odměn.
  • V případě problémů klasifikovaných jako problémy s nízkou závažností nebo náměty se budou vydávat pouze potvrzení.
Nejčastější dotazyJak mám zranitelnost nahlásit?Uveďte podrobný popis ověření konceptu (PoC) a přesvědčte se, že je možné nahlášené problémy reprodukovat. Při hlášení chyb použijte tento šifrovací klíč PGP nabízený společností Synology a neprozrazujte příslušné informace žádné jiné osobě.Kdo rozhodne o tom, jestli mám za své hlášení o chybě nárok na odměnu?Všechna hlášení o chybách jsou kontrolována a vyhodnocována bezpečnostním týmem Synology, který se skládá z dlouholetých bezpečnostních analytiků ze společnosti Synology.Jaký důsledek bude mít zveřejnění chyby před jejím opravením?Snažíme se na hlášení o chybách rychle reagovat a za rozumnou dobu je opravit. Poprosili bychom vás, abyste nás před zveřejněním informací o chybě nejprve informovali. Jestliže při zveřejnění chyby tuto zásadu nedodržíte, nebudete mít nárok na odměnu.Vzniká nárok na odměnu za zranitelnosti zjištěné v zastaralém softwaru, například Apache nebo Nginx?Identifikujte zranitelnosti v softwaru a vysvětlete, proč se domníváte, že mají na používání softwaru škodlivý dopad. Hlášení, která tento typ informací neobsahují, nemají obvykle nárok na odměnu.Můžu požádat, aby moje jméno nebylo uvedeno na stránce Bezpečnostní doporučení společnosti Synology?Ano. Můžete požádat, abychom vás na naší stránce Bezpečnostní doporučení neuváděli. Pokud ale získáte nárok na odměnu a budete ji chtít přijmout, budeme potřebovat vaše kontaktní údaje, abychom mohli platbu zpracovat.Vzniká nárok na odměnu za zranitelnosti nahlášené obchodníkům se zranitelnostmi?Soukromé odhalení zranitelnosti jiným osobám za jiným účelem než opravy chyby je v rozporu s duchem našeho programu. Takováto hlášení proto nebudou mít nárok na odměnu.Kdo bude mít nárok na odměnu, pokud bude stejná chyba nahlášena více než jednou osobou?Odměnu obdrží první osoba, která nám dříve neznámou zranitelnost objeví.
PoděkováníChceme poděkovat všem s námi spolupracujícím výzkumníkům a organizacím zabývajícími se výzkumem zabezpečení.
  • David Oxley
  • Abdelali Chekiel
  • Sahil Shah (https://www.linkedin.com/in/sahilshah3276/)
  • @sunscan@infosec.exchange
  • Mehedi Hasan (SecMiners BD) https://www.facebook.com/polapain.1337/
  • Philipp Tekeser-Glasz from HvS-Consulting GmbH (https://www.hvs-consulting.de)
  • Jesse Walker (IBM NS1 Connect)
  • Aron Binoy (https://www.instagram.com/aron_binoy)