u-blox

报告安全问题

负责任的披露政策

目的 

u-blox 始终将客户和用户的安全放在首位。 我们致力于不断改进产品,专注于满足不断变化的市场需求、技术突破、层出不穷的威胁面和攻击载体。 本负责任的披露政策旨在识别并及时解决 u-blox 相关硬件、软件或服务(以下简称“u-blox 产品”)的新漏洞和安全问题。 

范围 

您可使用此平台报告任何 u-blox 产品 ( 不包括 生命周期已结束的 u-blox 产品/服务 )的漏洞/安全问题。此外,针对部分 u-blox 服务,我们与 BugCrowd 合作运营了一项仅限邀请的漏洞奖励计划,您可在  Bugcrowd 上申请加入 u-blox 漏洞奖励计划。

我们的《负责任的披露政策》可促进机构及个人秉诚报告产品和服务漏洞,而不会受到惩罚。 但是严禁有针对性的、恶意的或持续的攻击,如有发生,将依照相关法律报告有关部门。 

如何报告

如果您目前为 u-blox 的客户,您可前往 u-blox 技术支持论坛,在线提交一份漏洞/安全问题报告

如果您参加了上报漏洞奖励计划,则请通过Bugcrowd平台报告您的发现。 若为其余情况,您可通过下列方式联系我们:security@u-blox.com。 

安全通信 

通过电子邮件报告安全问题时,请不要在初始邮件中向我们发送任何与安全问题有关的信息。 请向我们发送以下信息: 

  • 您的详细联系信息 
  • 首选安全通信形式(如 PGP 或 S/MIME)

PGP 公共秘钥和指纹: 359F 2E00 85CF 57DF 45B5 3970 B106 63C8 757F 1A21 

报告问题 

建立安全通信后,请向我们发送下列信息,帮助我们解决问题: 

  • 有漏洞的 u-blox 产品,包括版本号;
  • 漏洞/安全问题类型,例如欺骗、篡改、远程代码执行、信息泄露、拒绝服务、特权提升;
  • 您是何时以及如何了解漏洞/安全问题的?
  • 重现漏洞/安全问题的步骤,包括技术细节;
  • 支持性证据,例如日志、截图、图片、漏洞代码。

只需提供 u-blox 正确分析漏洞/安全问题所需的信息,请不要提交任何个人信息或敏感个人信息。 所有个人资料都将根据 u-blox 的隐私政策进行处理。 

后续行动 

u-blox 将评估每份已收到的报告。 在收到您的消息后,我们将采取下列行动: 

  • 通过分析潜在影响和暴露情况,确定漏洞/安全问题的优先顺序; 
  • 我们将向您确认,我们指定的安全代表已收到您的报告; 
  • 我们可能要求您提供深入研究并解决问题所需的其他信息; 
  • 我们将根据漏洞/安全问题的性质进行修复,并通知您、我们的客户和/或监管机构,或在必要时采取其他行动 。

为了防止他人在我们制定好解决方案或修复程序之前恶意利用已报告的漏洞/安全问题,我们恳请您在 u-blox 允许后再披露漏洞/安全问题。 

除了仅限邀请的漏洞奖励计划的奖励外,在获得您的授权后,我们可能将您写入下文的致谢章节,以示对您提供漏洞/安全问题的诚挚谢意。 同时也请您注意,您所提供的漏洞/安全问题适用于 u-blox 网站的条款和条件,因此,u-blox 可使用在任何商业环境下提供的信息。 

致谢 

我们谨此向所有报告 u-blox 基础架构或产品安全问题的个人及公司致以诚挚的谢意。 

2022

Shrirang Diwakar   

 

2021

Talha Saleem   
个人   

 

2020 

Ronak NaharAishwarya KendleAli RazzaqMohammed Adam
个人个人个人个人

 

Usama AbidAvi ChakravartiBadal SardharaMerbin Russel
个人个人个人个人

披露 

我们持续监控和调查已报告的安全问题。 本节将介绍我们发布的与 u-blox 产品有关的、业已确定安全漏洞。 

漏洞 存在安全漏洞的产品建议

帧聚合(FRAG)

EMMY-W1 系列产品,
ELLA-W1 系列产品,
JODY-W1 系列产品,
JODY-W2 系列产品,
LILY-W1 系列产品,
NINA-W10 系列产品,
NINA-W13 系列产品,
NINA-W15 系列产品,
ODIN-W2 系列产品

请参见信息说明。 部分产品修复安全隐患的新固件现已上线。u-blox 团队正在更新其它产品的固件版本。

蓝牙-WiFi共存旁路漏洞

JODY-W1 系列产品

请参见信息说明。 用于修正问题的新固件现已上线。 
CVE-2019-16336, CVE-2019-17519, CVE-2019-17517, CVE-2019-17518, CVE-2019-17520, CVE-2019-19195, CVE-2019-19196, CVE-2019-17061, CVE-2019-17060, CVE-2019-19192, CVE-2019-19193, CVE-2019-19194 (Sweyntooth)

JODY-W1,
JODY-W2,
R41Z,
EMMY-W1

请参见信息说明。 用于修正问题的新固件现已上线。 

nRF52 芯片故障注入

ANNA-B1 系列产品,
BMD-3x 系列产品,
NINA-B1 系列产品,
NINA-B3 系列产品,
NINA-B4 系列产品

请参见信息说明中的设计考量因素和产品建议。
CVE-2019-15126 (Kr00k)JODY-W1 系列请参见 信息说明。 用于修正问题的新固件现已上线 
CVE-2019-9506 (KNOB)

NINA-B2 系列,
NINA-W13 系列,
NINA-W15 系列,
ODIN-W2 系列,
JODY-W1 系列,
EMMY-W1 系列

请参见此处可用的产品文档:
u-connect Express应用手册 附件A
EMMY-W1 版本说明
JODY-W1 版本说明

蓝牙配对模式混乱

CVE-2022-25836 ,CVE-2022-25837

All Bluetooth products请遵循 BT-SIG 提出的以下建议 (LE, BR/EDR)

通过 u-blox TOBY-L2 串行接口执行命令

CVE-2023-0011

TOBY-L200

TOBY-L201

TOBY-L210

TOBY-L220

TOBY-L280

TOBY-L2 的输入验证存在漏洞,允许用户使用专门制作的 AT 命令执行任意操作系统命令。客户应确保 TOBY-L2 串行端口仅对设备内部应用程序可用,且应用程序仅允许使用经过验证的 AT 命令。有关产品特定的安全补丁,请通过客户支持门户联系 u-blox。