Seems like there is a more localized page available for your location.
Store

Kosár összegzése ()

Összesen (undefined elem)Az ÁFA undefined%-a. A szállítás a pénztárnál lesz kiszámítva.

Vásárlás folytatása

Bee sorozat a Synologytól
Termékek A-tól Z-ig
Store
Biztonsági rés jutalomprogram
Ahogy a fenyegetések egyre gyakoribbak és egyre kifinomultabbak, a Synology a biztonsági kutatókkal együttműködve tartja fenn és erősíti tovább a védelmet.
Hatókörbe tartozó termékekA jelen program csak a Synology termékeivel és webszolgáltatásaival kapcsolatos sebezhetőségi jelentéseket fogadja el. A program hatókörén kívül eső sebezhetőségi jelentések jellemzően nem jogosultak jutalomra; azonban a helyzettől függően egyes, a kritikus sebezhetőségek hatókörén kívül eső jelentések is elfogadhatók.

Operációs rendszerek

Akár

30 000 dollár jutalom

Ebbe beletartozik a Synology DiskStation Manager, a Synology Router Manager és a Synology BeeStation.

További információk

Szoftver és C2 Cloud-szolgáltatások

Akár

10 000 dollár jutalom

Ebbe beletartoznak a Synology által fejlesztett szoftvercsomagok, a kapcsolódó mobilalkalmazások és a C2 Cloud-szolgáltatások.

További információk

Webszolgáltatások

Akár

5000 dollár jutalom

Ebbe beletartozik a Synology összes főbb webszolgáltatása.

További információk
A jutalom részletei
A jutalomra való jogosultság feltételei
Kérjük, adjon meg minden olyan információt, amelyre szükségünk van a bejelentett problémák reprodukálásához. Az egyes jutalmak nagysága a bejelentett sebezhetőség súlyosságától és az érintett termékkategóriától függ.A pénzbeli jutalomra való jogosultsághoz a bejelentéseknek a következő feltételeknek kell megfelelniük:
  1. Ön az első kutató, aki jelentette az adott sebezhetőséget
  2. A bejelentett sebezhetőség ellenőrizhető, reprodukálható és érvényes biztonsági probléma
  3. Jelentése megfelel a jutalomprogram feltételeinek és előírásainak
Biztonsági hibák jelentéseHa úgy gondolja, hogy sebezhetőséget talált, kövesse az alábbi lépéseket:
1. lépés

Vegye fel velünk a kapcsolatot a jutalomprogram kapcsolatfelvételi űrlapjának segítségével.

2. lépés

Használja ezt a PGP-kulcsot adatainak titkosításához, amikor hibajelentéseket küld a Synology vállalatnak.

3. lépés

Mellékeljen egy megvalósíthatóságot igazoló részletes bizonyítékot (PoC), és győződjön meg arról, hogy a bejelentett problémák reprodukálhatók.

4. lépés

A leírás legyen tömör. Például egy rövid, megvalósíthatóságot igazoló hivatkozást nagyobbra értékelünk, mint egy, az SSRF-probléma következményeit bemutató videót.

Az Ön felelőssége és a mi felelősségünkAz Ön jelentéseA feldolgozási idő csökkentése érdekében egy jó sebezhetőségi jelentésnek a következőket kell tartalmazni:
  1. Világosan megírt, részletes leírás angol nyelven arról, hogy miként lehet reprodukálni a sebezhetőséget
  2. Annak bemutatása, hogy a sebezhetőség milyen hatással van a Synology termékekeire vagy webszolgáltatásaira, illetve annak leírása, hogy mely verziókat és platformokat érinti
  3. A bejelentett sebezhetőség által okozott lehetséges károk ismertetése
A mi válaszunk
A Synology biztonsági csapata 7 napon belül válaszol a bejelentésére, és a fenyegetés súlyosságától függően a lehető leghamarabb frissíti az állapotot és kijavítja a biztonsági rést.Ha a feltárt sebezhetőségi jelentésért pénzjutalom jár, elismerésünk kifejezéseképpen az Ön nevét feltüntetjük a hivatalos weboldalunkon elérhető, Synology Termékbiztonsági tanácsadója oldalon.Ez a folyamat legalább 90 napot vesz igénybe. Jutalma a folyamat befejezése után kerül átutalásra.
Megjegyzések:A Synology fenntartja a jogot, hogy bármikor, előzetes értesítés nélkül megváltoztassa vagy megszüntesse a jelen programot, beleértve annak szabályzatait is.
Operációs rendszerek
Jutalom

A jogosult jelentésekért akár 30 000 USD jutalom jár.*

A hatókörbe tartozó termékek

Csak a hivatalosan kiadott verziókkal kapcsolatos jelentéseket fogadjuk el.

DiskStation Manager (DSM)

  • DSM 7 (legújabb verzió)

Synology Router Manager (SRM)

  • SRM 1.3 (legújabb verzió)

A Synology Camera firmware-je

  • Firmware 1.1 (legújabb verzió)

Synology BeeStation

  • BeeStation OS 1.0 (legújabb verzió)
Szabályok és korlátozások

Ez a program szigorúan a Synology termékeiben és szolgáltatásaiban található sebezhetőségekre korlátozódik. Szigorúan tilos minden olyan tevékenység, amely kárt okozhat a Synology szervereiben vagy adataiban, vagy kedvezőtlen hatást gyakorolhat azokra. A sebezhetőségi tesztelés nem sértheti a helyi vagy tajvani törvényeket.

A program nem fogad el olyan sebezhetőségi jelentéseket, amelyek a következőket írják le vagy foglalják magukban:

  1. DoS (szolgáltatásmegtagadási) támadások a Synology vagy a felhasználók szerverein
  2. A sebezhetőség tesztelése, amely káros hatással van a Synology vagy a felhasználók szervereire vagy adataira
  3. Fizikai támadások vagy pszichológiai manipuláció
  4. A hibainformációk közzététele a Synology jóváhagyása előtt
  5. Elavult szolgáltatásokban vagy termékekben található nem kritikus sebezhetőségek
  6. A csak az elavult böngészőket érintő sebezhetőségek
  7. A jelszó-találgatásos támadások legtöbb típusa
  8. Reflektált XSS-támadások vagy Ön XSS-támadások
  9. Adathalászattal, hamis webhelyek létrehozásával vagy csalással kapcsolatos sebezhetőségek
  10. Sebezhetőségi vizsgálati jelentések, amelyek nem részletezik a sebezhetőség hatásait
  11. Annak jelzése, hogy az alapértelmezett portok sebezhetők, de nem biztosítanak hozzá megvalósíthatóságot igazoló bizonyítékot
  12. Elméleti sebezhetőségek, amelyekből hiányzik a megvalósíthatóságot igazoló bizonyíték (PoC)
  13. A nyílt átirányítások önmagukban általában tájékoztató jellegűek, és nem jogosultak jutalomra, hacsak nem járulnak hozzá egy jelentősebb sebezhetőséghez
  14. Hiányzó biztonsági fejlécek, amelyek nem használhatók ki közvetlenül
  15. Hiányzó biztonságjelzők a cookie-knál
  16. Felhasználófelsorolás. A felhasználók felsorolását felvázoló jelentések nem tartoznak a hatókörbe, hacsak Ön nem tudja bizonyítani, hogy nincs érvényben határérték a felhasználók védelme érdekében.
*További részletekért tekintse meg A jutalom részletei oldalt a Biztonsági rés program weboldalán.
**Az SRM_LAN biztonsági résekért járó maximális jutalom 5000 dollár.
***A kamerák firmware-jében található biztonsági résekért járó maximális jutalom 10 000 dollár.
Szoftver és C2 Cloud-szolgáltatások
Jutalom

A jogosult jelentésekért akár 10 000 USD jutalom jár.*

A hatókörbe tartozó termékek

Csak a hivatalosan kiadott verziókkal kapcsolatos jelentéseket fogadjuk el.

Csomagok

A Synology által fejlesztett szoftvercsomagok

Asztali kliensek

A Synology által fejlesztett Windows, macOS és Linux alkalmazások

Mobilalkalmazások

A Synology által Android és iOS rendszerre fejlesztett mobilalkalmazások

Synology­-fiók

  • *.account.synology.com domainek
  • *.identity.synology.com domainek

C2 szolgáltatások

*.c2.synology.com domainek

Szabályok és korlátozások

Ez a program szigorúan a Synology termékeiben és szolgáltatásaiban található sebezhetőségekre korlátozódik. Szigorúan tilos minden olyan tevékenység, amely kárt okozhat a Synology szervereiben vagy adataiban, vagy kedvezőtlen hatást gyakorolhat azokra. A sebezhetőségi tesztelés nem sértheti a helyi vagy tajvani törvényeket.

A program nem fogad el olyan sebezhetőségi jelentéseket, amelyek a következőket írják le vagy foglalják magukban:

  1. DoS (szolgáltatásmegtagadási) támadások a Synology vagy a felhasználók szerverein
  2. A sebezhetőség tesztelése, amely káros hatással van a Synology vagy a felhasználók szervereire vagy adataira
  3. Fizikai támadások vagy pszichológiai manipuláció
  4. A hibainformációk közzététele a Synology jóváhagyása előtt
  5. Elavult szolgáltatásokban vagy termékekben található nem kritikus sebezhetőségek
  6. A csak az elavult böngészőket érintő sebezhetőségek
  7. A jelszó-találgatásos támadások legtöbb típusa
  8. Reflektált XSS-támadások vagy Ön XSS-támadások
  9. Adathalászattal, hamis webhelyek létrehozásával vagy csalással kapcsolatos sebezhetőségek
  10. Sebezhetőségi vizsgálati jelentések, amelyek nem részletezik a sebezhetőség hatásait
  11. Annak jelzése, hogy az alapértelmezett portok sebezhetők, de nem biztosítanak hozzá megvalósíthatóságot igazoló bizonyítékot
  12. Elméleti sebezhetőségek, amelyekből hiányzik a megvalósíthatóságot igazoló bizonyíték (PoC)
  13. A nyílt átirányítások önmagukban általában tájékoztató jellegűek, és nem jogosultak jutalomra, hacsak nem járulnak hozzá egy jelentősebb sebezhetőséghez
  14. Hiányzó biztonsági fejlécek, amelyek nem használhatók ki közvetlenül
  15. Hiányzó biztonságjelzők a cookie-knál
  16. Felhasználófelsorolás. A felhasználók felsorolását felvázoló jelentések nem tartoznak a hatókörbe, hacsak Ön nem tudja bizonyítani, hogy nincs érvényben határérték a felhasználók védelme érdekében.
*További részletekért tekintse meg A jutalom részletei oldalt a Biztonsági rés program weboldalán.
Webszolgáltatások
Jutalom

A jogosult jelentésekért akár 5000 USD jutalom jár.*

A hatókörbe tartozó termékek

A következő domainek (beleértve az aldomaineket is) tartoznak a hatókörbe:

*.synology.com

A következő domainek (beleértve az aldomaineket is) nem tartoznak a hatókörbe:

openstack-ci-logs.synology.com, router.synology.com

A Synology fenntartja a jogot, hogy ezt a listát bármikor, értesítés nélkül módosítsa.

Szabályok és korlátozások

Ez a program szigorúan a Synology termékeiben és szolgáltatásaiban található sebezhetőségekre korlátozódik. Szigorúan tilos minden olyan tevékenység, amely kárt okozhat a Synology szervereiben vagy adataiban, vagy kedvezőtlen hatást gyakorolhat azokra. A sebezhetőségi tesztelés nem sértheti a helyi vagy tajvani törvényeket.

A program nem fogad el olyan sebezhetőségi jelentéseket, amelyek a következőket írják le vagy foglalják magukban:

  1. DoS (szolgáltatásmegtagadási) támadások a Synology vagy a felhasználók szerverein
  2. A sebezhetőség tesztelése, amely káros hatással van a Synology vagy a felhasználók szervereire vagy adataira
  3. Fizikai támadások vagy pszichológiai manipuláció
  4. A hibainformációk közzététele a Synology jóváhagyása előtt
  5. Könyvtárkeresztezés a https://*archive.synology.com címen
  6. Tükrözött fájl letöltése (RFD)
  7. Banner grabbing problémák vagy szoftververzió közzététele
  8. 0 napos sebezhetőség 90 napon belül közzétéve
  9. Elavult szolgáltatásokban vagy termékekben található nem kritikus sebezhetőségek
  10. A csak az elavult böngészőket érintő sebezhetőségek
  11. A jelszó-találgatásos támadások legtöbb típusa
  12. Reflektált XSS-támadások vagy Ön XSS-támadások
  13. Adathalászattal, hamis webhelyek létrehozásával vagy csalással kapcsolatos sebezhetőségek
  14. Sebezhetőségi vizsgálati jelentések, amelyek nem részletezik a sebezhetőség hatásait
  15. Annak jelzése, hogy az alapértelmezett portok sebezhetők, de nem biztosítanak hozzá megvalósíthatóságot igazoló bizonyítékot
  16. Elméleti sebezhetőségek, amelyekből hiányzik a megvalósíthatóságot igazoló bizonyíték (PoC)
  17. A nyílt átirányítások önmagukban általában tájékoztató jellegűek, és nem jogosultak jutalomra, hacsak nem járulnak hozzá egy jelentősebb sebezhetőséghez
  18. Hiányzó biztonsági fejlécek, amelyek nem használhatók ki közvetlenül
  19. Hiányzó biztonságjelzők a cookie-knál
  20. Felhasználófelsorolás. A felhasználók felsorolását felvázoló jelentések nem tartoznak a hatókörbe, hacsak Ön nem tudja bizonyítani, hogy nincs érvényben határérték a felhasználók védelme érdekében.
*További részletekért tekintse meg A jutalom részletei oldalt a Biztonsági rés program weboldalán.
A jutalom részletei
Az oldal segítségével a kutatók megismerhetik az adott típusú sebezhetőségek feltárásáért járó lehetséges maximális jutalmakat, illetve azokat a sebezhetőségi típusokat, amelyeket a Synology a leginkább értékel. Nagyra értékeljük hozzájárulásait, és elkötelezettek vagyunk a fontos biztonsági kutatások méltányos jutalmazása iránt.A táblázatban szereplő jutalmak az egyes kategóriákban adható maximumot mutatják, de nem minden jogosult bejelentés kapja meg garantáltan a feltüntetett összeget.*
Kritikus
Operációs rendszerekSzoftver és C2 Cloud-szolgáltatásokWebszolgáltatások
Zero-click pre-auth RCE30 000 dollár10 000 dollár5000 dollár
Zero-click pre-auth arbitrary file r/w9000 dollár4600 dollár2400 dollár
Fontos
Operációs rendszerekSzoftver és C2 Cloud-szolgáltatásokWebszolgáltatások
1-click pre-auth RCE8000 dollár4000 dollár2000 dollár
Zero-click normal-user-auth RCE7500 dollár3900 dollár1900 dollár
Zero-click normal-user-auth arbitrary file r/w6500 dollár3400 dollár1700 dollár
Zero-click pre-auth RCE (AC:H)6500 dollár3400 dollár1700 dollár
1-click pre-auth RCE (AC:H)5000 dollár2500 dollár1325 dollár
pre-auth SQL injection3800 dollár1950 dollár1025 dollár
1-click normal-user-auth RCE (AC:H)2600 dollár1350 dollár725 dollár
pre-auth stored XSS2600 dollár1350 dollár725 dollár
Közepes
Operációs rendszerekSzoftver és C2 Cloud-szolgáltatásokWebszolgáltatások
normal-user-auth stored XSS1350 dollár733 dollár417 dollár
normal-user-auth SQL injection1200 dollár607 dollár353 dollár
admin-auth vulnerabilities100 dollár100 dollár100 dollár
  1. 2024. október 1-től az admin-auth biztonsági résekkel kapcsolatos jutalom 100 USD.
  2. Asztali kliensek esetében a jutalom 100 USD, amennyiben a CVSS vektor a következők bármelyikét tartalmazza:
    • AV:L
    • AV:A
    • AV:N/AC:H

Megjegyzések:

  • Felhívjuk figyelmét, hogy bár a jutalmakra vonatkozó iránymutatások adottak, minden jelentést külön kezelünk és alaposan kiértékelünk. A pontozás során különböző tényezőket veszünk figyelembe, beleértve, de nem kizárólagosan a jutalmak mezőben részletezett hatókört is. A Synology fenntartja a jogot a jutalom összegének végső kiértékelésére.
  • Az alacsony súlyosságúnak minősített problémák vagy javaslatok esetében csak elismerést adunk.
Gyakori kérdésekHogyan jelentsem a sebezhetőséget?Kérjük, adja meg a megvalósíthatóságot igazoló részletes bizonyítékot (PoC), és győződjön meg arról, hogy a bejelentett problémák reprodukálhatók. A hibabejelentés beküldésekor használja ezt a Synology által kínált PGP-kulcstitkosítást, és ne fedje fel a vonatkozó információkat harmadik félnek.Ki felelős annak megállapításáért, hogy a hibajelentésem jogosult-e a jutalomra?A Synology vezető biztonsági elemzőiből álló Synology biztonsági csapat az összes hibajelentést áttekinti és kiértékeli.Mi a következménye, ha egy hiba a kijavítása előtt nyilvánosságra kerül?Törekszünk arra, hogy a hibajelentésekre azonnal válaszoljunk, és észszerű időn belül megtegyük a szükséges lépéseket a kijavításukhoz. Kérjük, értesítsen minket előre, mielőtt nyilvánosan közzétenné a hibainformációkat. Nem jár jutalom, ha a hibafeltárás során nem követik ezen irányelveket.Az elavult szoftverekben (mint például Apache vagy Nginx) talált sebezhetőségek jogosultak a jutalomra?Kérjük, azonosítsa a szoftver sebezhetőségét, és indokolja meg, miért gyanítja, hogy a hibák károsak a szoftverhasználatra. Azok a bejelentések, amelyekben ezek az információk nem szerepelnek, általában nem jogosultak jutalomra.Kérhetem, hogy a nevem ne szerepeljen a Synology Biztonsági tanácsadó oldalán?Igen. Kérheti, hogy ne szerepeljen a Biztonsági tanácsadó oldalunkon. Ha azonban jogosult a jutalomra, és el is kívánja azt fogadni, akkor szükségünk lesz kapcsolatfelvételi adatokra a fizetés feldolgozásához.A sebezhetőségek akkor is jogosultak jutalomra, ha sebezhetőségi brókereknek jelentették őket?A sebezhetőségek hibajavításon kívüli, privát célú, harmadik feleknek való felfedése ellentmond programunk szellemének. Ezért az ilyen jelentések nem jogosultak jutalomra.Ki jogosult a jutalomra, ha ugyanazt a hibát többen is bejelentik?A jutalmat az kapja meg, aki elsőként olyan sebezhetőséget fedez fel, amely korábban ismeretlen volt számunkra.
ElismerésSzeretnénk megemelni kalapunk a biztonsági kutatók és a minket segítő szervezetek előtt.
  • David Oxley
  • Abdelali Chekiel