Seems like there is a more localized page available for your location.
Store

Einkaufswagen ()

Gesamt (undefined Artikel)Inkl. MwSt. undefined%. Der Versand wird beim Checkout berechnet.

Weiter einkaufen

Bee-Serie von Synology
Produkte A-Z
Store
Security Bug Bounty Programm
Bedrohungen entwickeln sich ständig weiter und werden dabei immer raffinierter. In Zusammenarbeit mit Sicherheitsforschern arbeitet Synology daher kontinuierlich an der Weiterentwicklung aller Schutzmaßnahmen.
GeltungsbereichDieses Programm akzeptiert nur Berichte über Sicherheitslücken, die sich auf Produkte und Webdienste von Synology beziehen. Berichte über Sicherheitslücken, die nicht in den Anwendungsbereich des Programms fallen, qualifizieren sich in der Regel nicht für Belohnungen; Berichte über kritische Sicherheitslücken, die nicht in den Anwendungsbereich fallen, können jedoch je nach Situation akzeptiert werden.

Betriebssysteme

Prämien von bis zu

30.000 US-Dollar.

Umfasst Synology DiskStation Manager, Synology Router Manager und Synology BeeStation.

Mehr erfahren

Software und C2-Cloud-Dienste

Prämien von bis zu

10.000 US-Dollar.

Umfasst die von Synology entwickelten Softwarepakete, zugehörige mobile Anwendungen und C2-Cloud-Dienste.

Mehr erfahren

Webdienste

Prämien von bis zu

5.000 US-Dollar.

Umfasst alle wichtigen Synology Webdienste.

Mehr erfahren
Belohnungsdetails
Bedingungen für die Vergabe einer Prämie
Bitte geben Sie alle Informationen an, die wir benötigen, um die gemeldeten Probleme zu reproduzieren. Die Höhe der einzelnen Prämien hängt von der Schwere der gemeldeten Sicherheitslücke und der betroffenen Produktkategorie ab.Um sich für eine Prämie zu qualifizieren, müssen die Berichte die folgenden Kriterien erfüllen:
  1. Sie sind der erste Entwickler, der die jeweilige Sicherheitslücke meldet (Nur Berichte in englischer Sprache haben die Chance sich für eine Prämie zu qualifizieren)
  2. Die gemeldete Sicherheitslücke ist nachweislich verifizierbar, reproduzierbar und ein relevantes Sicherheitsproblem
  3. Ihre Meldung entspricht den Bedingungen und Bestimmungen des Prämienprogramms
Meldung von SicherheitslückenWenn Sie glauben, eine Sicherheitslücke gefunden zu haben, führen Sie bitte die folgenden Schritte aus:
Schritt 1

Kontaktieren Sie uns über das Kontaktformular für das Bounty-Programm.

Schritt 2

Verwenden Sie diesen PGP-Schlüssel, um Ihre Informationen zu verschlüsseln, wenn Sie Fehlerberichte an Synology senden.

Schritt 3

Fügen Sie einen detaillierten PoC (Proof of Concept) bei und stellen Sie sicher, dass die gemeldeten Probleme reproduziert werden können.

Schritt 4

Wir empfehlen Ihnen, die Informationen kurz und bündig zu halten. So wird beispielsweise ein kurzer PoC-Link höher bewertet als ein Video, in dem die Folgen eines SSRF-Problems erklärt werden.

Ihre und unsere VerantwortungIhr BerichtHelfen Sie uns, die Bearbeitungszeit zu verkürzen. Achten Sie darauf, dass Ihr Bericht:
  1. Eine klare Schritt-für-Schritt-Beschreibung zur Reproduktion der Schwachstelle enthält. Der Bericht muss in englischer Sprache verfasst sein.
  2. Aufzeigt, wie die Sicherheitslücke Synology Produkte oder Webdienste beeinträchtigt und beschreibt, welche Versionen und Plattformen betroffen sind.
  3. Den potenziellen Schaden erläutert, der durch die festgestellte Schwachstelle verursacht wird / werden könnte.
Unsere Antwort
Das Synology Security Team wird innerhalb von 7 Tagen auf Ihre Meldung reagieren und die Schwachstelle, je nach Schwere der Bedrohung, so schnell wie möglich beheben.Qualifiziert sich Ihr Schwachstellen-Bericht für eine Prämie, wird Ihr Name als Zeichen unserer Dankbarkeit und Wertschätzung auf der Synology Produkt-Sicherheitsanweisungen Seite aufgeführt.Dieser Vorgang wird voraussichtlich mindestens 90 Tage in Anspruch nehmen. Ihre Prämie wird Ihnen nach Abschluss des Prüfverfahrens überwiesen.
Anmerkungen:Synology behält sich das Recht vor, dieses Programm, einschließlich seiner Richtlinien, jederzeit und ohne vorherige Ankündigung zu ändern oder zu beenden.
Betriebssysteme
Prämie

Qualifizierte Meldungen können mit einer Prämie von bis zu 30.000 US-Dollar honoriert werden.*

Produkte im Geltungsbereich

Es werden nur Beiträge über offiziell freigegebene Versionen akzeptiert.

DiskStation Manager (DSM)

  • DSM 7 (neueste Version)

Synology Router Manager (SRM)

  • Standardmäßig installierte Pakete

Synology Kamera Firmware

  • Firmware 1.1 (aktuellste Version)

Synology BeeStation

  • BeeStation OS 1.0 (neueste Version)
Regelungen und Einschränkungen

Dieses Programm ist auf Sicherheitslücken beschränkt, die in Synology Produkten und Dienstleistungen gefunden wurden. Aktionen, die möglicherweise Synology Server oder Daten beschädigen oder nachteilig beeinflussen könnten, sind strengstens untersagt. Die Schwachstellentests dürfen nicht gegen lokale oder taiwanesische Gesetze verstoßen.

Nicht für das Programm qualifiziert sind Berichte die die folgende Sicherheitslücken beschreiben oder beinhalten:

  1. DoS-Angriffe (Denial of Service) auf die Server von Synology oder die von Anwendern
    2. .
  2. Tests auf Sicherheitslücken, die sich nachteilig auf die Server oder Daten von Synology oder Anwender auswirken
  3. Physikalische Angriffe oder Social Engineering
  4. Weitergabe von Fehlerinformationen vor der Genehmigung durch Synology
  5. Nicht kritische Schwachstellen in veralteten Diensten oder Produkten
  6. Schwachstellen, die nur veraltete Webbrowser betreffen
  7. Die meisten Arten von Brute-Force-Angriffen
  8. Reflektierte XSS-Angriffe oder Self-XSS-Angriffe
  9. Schwachstellen, die Phishing, die Erstellung von gefälschten Websites oder Betrug beinhalten
  10. Berichte über Schwachstellen-Scans, die keine detaillierten Angaben zu den Auswirkungen der Schwachstelle enthalten
  11. Hinweise, dass Standard-Ports verwundbar sind, ohne jedoch einen PoC zu liefern
  12. Theoretische Schwachstellen ohne konkreten Proof of Concept (PoC)
  13. Offene Weiterleitungen allein gelten in der Regel als informativ und qualifizieren sich nicht für Belohnungen, es sei denn, sie tragen zu einer größeren Schwachstelle bei
  14. Fehlende Sicherheitsheader, die nicht direkt zur Ausnutzung führen
  15. Fehlende Sicherheitsflags in Cookies
  16. Benutzeraufzählung. Berichte, die die Benutzeraufzählung beschreiben, fallen nicht in den Geltungsbereich, es sei denn, Sie können nachweisen, dass wir keine Ratenbeschränkungen zum Schutz unserer Benutzer haben.
*Weitere Details finden Sie auf der Webpage zum Security Bug Bounty Programm unter dem Abschnitt „Belohnungsdetails“.
**Die maximale Belohnung für Schwachstellen in SRM_LAN beträgt 5.000 US-Dollar.
***Die maximale Belohnung für Schwachstellen in der Kamera-Firmware beträgt 10.000 US-Dollar
Software und C2 Cloud Dienste
Prämie

Qualifizierte Meldungen können mit einer Prämie von bis zu 10.000 US-Dollar honoriert werden.*

Produkte im Geltungsbereich

Es werden nur Berichte über offiziell herausgegebene Versionen akzeptiert.

Pakete

Von Synology entwickelte Softwarepakete

Desktop-Clients

Von Synology entwickelte Windows-, macOS- und Linux-Anwendungen

Mobile Apps

Von Synology entwickelte mobile Anwendungen für Android und iOS

Synology Konto

  • *.konto.synology.de-Domänen
  • *.identity.synology.com-Domains

C2-Dienste

*.c2.synology.com-Domains

Regelungen und Einschränkungen

Dieses Programm ist auf Sicherheitslücken beschränkt, die in Synology Produkten und Dienstleistungen gefunden wurden. Aktionen, die möglicherweise Synology Server oder Daten beschädigen oder nachteilig beeinflussen könnten, sind strengstens untersagt. Die Schwachstellentests dürfen nicht gegen lokale oder taiwanesische Gesetze verstoßen.

Nicht für das Programm qualifiziert sind Berichte die die folgende Sicherheitslücken beschreiben oder beinhalten:

  1. DoS-Angriffe (Denial of Service) auf die Server von Synology oder die von Benutzern
  2. Schwachstellentests, die schädlich für die Server oder Daten von Synology oder von Benutzern sind
  3. Physische Angriffe oder Social Engineering
  4. Offenlegung von Fehlerinformationen vor der Genehmigung durch Synology
  5. Unkritische Schwachstellen in veralteten Diensten oder Produkten
  6. Sicherheitslücken, die nur veraltete Webbrowser betreffen
  7. Die meisten Arten von Brute-Force-Angriffen
  8. Reflektierte XSS-Angriffe oder Selbst-XSS-Angriffe
  9. Schwachstellen, die Phishing, die Erstellung gefälschter Websites oder die Begehung von Betrug beinhalten
  10. Berichte zum Scannen von Sicherheitslücken, in denen die Auswirkungen der Sicherheitslücke nicht detailliert beschrieben werden
  11. Hinweise darauf, dass Standardports anfällig sind, jedoch ohne Bereitstellung eines PoC
  12. Theoretische Schwachstellen ohne konkreten Proof of Concept (PoC)
  13. Offene Weiterleitungen allein gelten in der Regel als informativ und qualifizieren sich nicht für Belohnungen, es sei denn, sie tragen zu einer größeren Schwachstelle bei
  14. Fehlende Sicherheitsheader, die nicht direkt zu einer Ausnutzung führen
  15. Fehlende Sicherheitsflags in Cookies
  16. Benutzeraufzählung. Berichte, die die Benutzeraufzählung beschreiben, fallen nicht in den Geltungsbereich, es sei denn, Sie können nachweisen, dass wir keine Ratenbeschränkungen zum Schutz unserer Benutzer haben.
*Weitere Informationen finden Sie unter „Prämiendetails“ auf der Webseite des Security Bug Program.
Webdienste
Prämie

Qualifizierte Meldungen können mit einer Prämie von bis zu 5.000 US-Dollar honoriert werden.*

Produkte im Geltungsbereich

Die folgenden Domains (einschließlich Sub-Domains) sind im Geltungsbereich:

*.synology.com

Die folgenden Domains (einschließlich Sub-Domains) sind außerhalb des Geltungsbereichs:

openstack-ci-logs.synology.com, router.synology.com

Synology behält sich das Recht vor, diese Liste jederzeit und ohne Vorankündigung zu ändern.

Regelungen und Einschränkungen

Dieses Programm ist auf Sicherheitsschwachstellen beschränkt, die in Synology Produkten und Diensten gefunden wurden. Aktionen, die möglicherweise Synology Server oder Daten beschädigen oder nachteilig beeinflussen könnten, sind strengstens untersagt. Die Schwachstellentests dürfen nicht gegen lokale oder taiwanesische Gesetze verstoßen.

Nicht für das Programm qualifiziert sind Berichte die die folgende Sicherheitslücken beschreiben oder beinhalten:

  1. DoS-Angriffe (Denial of Service) auf die Server von Synology oder Anwendern
    2. .
  2. Tests auf Sicherheitslücken, die sich nachteilig auf die Server oder Daten von Synology oder den Benutzern auswirken
  3. Physikalische Angriffe oder Social Engineering
  4. Weitergabe von Fehlerinformationen vor der Genehmigung durch Synology
  5. Nicht kritische Schwachstellen in veralteten Diensten oder Produkten
  6. Schwachstellen, die nur veraltete Webbrowser betreffen
  7. Die meisten Arten von Brute-Force-Angriffen
  8. Reflektierte XSS-Angriffe oder Self-XSS-Angriffe
  9. Schwachstellen, die Phishing, die Erstellung von gefälschten Websites oder Betrug beinhalten
  10. Berichte über Schwachstellen-Scans, die keine detaillierten Angaben zu den Auswirkungen der Schwachstelle enthalten
  11. Hinweise, dass Standard-Ports verwundbar sind, ohne jedoch einen PoC zu liefern
  12. Theoretische Schwachstellen ohne konkreten Proof of Concept (PoC)
  13. Offene Weiterleitungen allein gelten in der Regel als informativ und qualifizieren sich nicht für Belohnungen, es sei denn, sie tragen zu einer größeren Schwachstelle bei
  14. Fehlende Sicherheitsheader, die nicht direkt zur Ausnutzung führen
  15. Fehlende Sicherheitsflags in Cookies
  16. Benutzeraufzählung. Berichte, die die Benutzeraufzählung beschreiben, fallen nicht in den Geltungsbereich, es sei denn, Sie können nachweisen, dass wir keine Ratenbeschränkungen zum Schutz unserer Benutzer haben.
*Weitere Informationen finden Sie unter „Prämiendetails“ auf der Webseite des Security Bug Program.
Belohnungsdetails
Diese Seite soll Forschern helfen, das potenzielle Maximum an Belohnungen für spezifische Schwachstellentypen zu verstehen und die Arten von Schwachstellen hervorzuheben, die Synology am meisten schätzt. Wir sind sehr dankbar für Ihre Beiträge und unser Ziel ist es, bedeutende Sicherheitsforschung fair zu belohnen.Die Belohnungen in der Tabelle zeigen das maximal Mögliche für jede Kategorie, aber nicht jeder qualifizierende Bericht ist garantiert, den aufgeführten Betrag zu erhalten.*
Kritisch
BetriebssystemeSoftware und C2 Cloud-DiensteWeb-Dienste
Zero-click pre-auth RCE30.000 $10.000 $5.000 $
Zero-click pre-auth arbitrary file r/w9.000 $4.600 $2.400 $
Wichtig
BetriebssystemeSoftware und C2 Cloud-DiensteWeb-Dienste
1-click pre-auth RCE8.000 $4.000 $2.000 $
Zero-click normal-user-auth RCE7.500 $3.900 $1.900 $
Zero-click normal-user-auth arbitrary file r/w6.500 $3.400 $1.700 $
Zero-click pre-auth RCE (AC:H)6.500 $3.400 $1.700 $
1-click pre-auth RCE (AC:H)5.000 $2.500 $1.325 $
pre-auth SQL injection3.800 $1.950 $1.025 $
1-click normal-user-auth RCE (AC:H)2.600 $1.350 $725 $
pre-auth stored XSS2.600 $1.350 $725 $
Moderat
BetriebssystemeSoftware und C2 Cloud-DiensteWeb-Dienste
normal-user-auth stored XSS1.350 $733 $417 $
normal-user-auth SQL injection1.200 $607 $353 $
admin-auth vulnerabilities100 $100 $100 $
  1. Ab dem 1. Oktober 2024 beträgt die Prämie für gemeldete Sicherheitslücken im Admin-Authentifizierungsprozess 100 USD.
  2. Für Sicherheitslücken in Desktop-Clients gilt eine Prämie von 100 USD, wenn der CVSS-Vektor eine der folgenden Bedingungen erfüllt:
    • AV:L
    • AV:A
    • AV:N/AC:H

Anmerkungen:

  • Bitte beachten Sie, dass zwar Richtlinien für Belohnungen bereitgestellt werden, jeder Bericht jedoch individuell und gründlich bewertet wird. Die Bewertung berücksichtigt verschiedene Faktoren, einschließlich, aber nicht beschränkt auf den im Belohnungsraster detaillierten Umfang. Synology behält sich das Recht vor, die endgültige Interpretation der Belohnungsbeträge vorzunehmen.
  • Bei Problemen, die als geringfügig eingestuft sind, oder bei Vorschlägen werden ausschließlich Bestätigungen bereitgestellt.
FAQWie sollte ich eine Sicherheitslücke melden?Bitte legen Sie einen detaillierten PoC (Proof of Concept) vor und stellen Sie sicher, dass die gemeldeten Probleme reproduziert werden können. Verwenden Sie diese von Synology angebotene PGP-Schlüsselverschlüsselung, wenn Sie Fehlerberichte an uns senden, und geben Sie die relevanten Informationen nicht an Dritte weiter.Wer entscheidet, ob meine Meldung für eine Belohnung in Frage kommt?Alle Fehlerberichte werden vom Synology Security Team, das sich aus erfahrenen Sicherheitsanalysten von Synology zusammensetzt, überprüft und bewertet.Welche Folgen hat es, wenn der Fehler öffentlich gemacht wird, bevor er behoben ist?Wir bemühen uns auf Fehlerberichte umgehend zu reagieren und sie zeitnah zu beheben. Bitte benachrichtigen Sie uns, bevor Sie Bug-Informationen öffentlich bekannt geben. Fehlermeldungen, die diesen Grundsatz nicht befolgen, qualifizieren sich nicht für eine Prämie.Sind Sicherheitslücken, die in veralteter Software wie Apache oder Nginx gefunden werden, für eine Belohnung qualifiziert?Bitte nennen Sie die Schwachstellen in der Software und erläutern Sie, warum Sie vermuten, dass sie für die Nutzung der Software schädlich sind. Berichte, die diese Art von Informationen nicht enthalten, kommen in der Regel nicht für eine Prämie in Frage.Kann ich angeben, dass mein Name nicht auf der Seite mit den Sicherheitshinweisen von Synology aufgeführt werden soll?Ja. Sie können angeben, nicht auf unserer Website aufgeführt zu werden. Wenn Sie jedoch Anspruch auf eine Prämie haben und diese annehmen möchten, benötigen wir Ihre Kontaktinformationen, um die Zahlung abzuwickeln.Können Schwachstellen weiterhin belohnt werden, wenn sie an Schwachstellen-Broker gemeldet werden?Die private Weitergabe einer Sicherheitslücke an Dritte zu anderen Zwecken als der Fehlerbehebung steht im Widerspruch zum Geist unseres Programms. Aus diesem Grund können sich entsprechende Meldungen nicht für eine Prämie qualifizieren.Wem steht die Prämie zu, wenn derselbe Fehler von mehr als einer Person gemeldet wird?Die Belohnung erhält die erste Person, die eine uns bisher unbekannte Schwachstelle entdeckt.
DanksagungVielen Dank an alle Sicherheitsexperten und Institutionen, die uns in der Vergangenheit geholfen haben.
  • David Oxley
  • Abdelali Chekiel