报告潜在的产品安全漏洞

关于 TI PSIRT

TI 非常重视产品的安全性。然而，我们都知道，无论在产品安全领域投入多少精力，也没有一项产品或客户系统可以保障百分百安全。TI 希望了解影响我们产品的任何潜在安全问题，以便可以采取必要的措施及时解决这些问题。TI 的产品安全事件响应团队 (PSIRT) 负责监督接受和响应涉及 TI 半导体产品（包括硬件、软件和文档）潜在安全漏洞报告的流程。

如何报告潜在的安全漏洞

您可以通过 psirt@ti.com 联系 TI PSIRT，报告潜在的安全漏洞。您的报告应使用英文编写。TI 将及时做出响应，确认已收到您的电子邮件。

漏洞信息非常敏感。TI PSIRT 强烈建议在发送时使用 TI PSIRT PGP/GPG 密钥对所有提交的安全漏洞报告进行加密：

指纹：898C ECC3 451F 9438 D972 06B6 4C13 1A0F 9AF0 04D8
公共密钥文件（ZIP、3KB）

可从以下位置获取用于阅读或撰写 PGP/GPG 加密邮件的免费软件：

建议在报告中添加的信息

为了帮助 TI PSIRT 对潜在安全漏洞进行分类，我们建议您提供以下信息：

可能会受到影响的 TI 硬件或软件产品（包括版本或修订版本）
发现潜在漏洞的方式和时间，以及发现漏洞的人员
潜在漏洞的技术说明，包括任何相关的 (1) 已知漏洞和 (2) 现有 CVE ID
您的联系信息，以便 TI 能提出任何必要的后续问题

报告处理过程

报告提交之后，TI 将遵循以下流程来评估潜在安全漏洞并做出响应：

通知：TI 发现潜在安全漏洞。
初始鉴别分类：TI 查看提交的报告，确定 TI 产品是否会受到影响以及是否获取了足够的信息。
技术分析：TI 从技术层面更深入地研究报告的潜在漏洞。^[1]
补救措施：TI 针对核实的产品安全漏洞采取合适的措施。
披露：在合适的情况下，TI 会披露关于已核实漏洞的信息，并可能提供补救措施，例如通过安全通报或公告。

^{[1] TI 将使用 CVSS（常见漏洞评分系统）v3.0 对漏洞进行评分，以便正确地确定漏洞的优先级来进行分析和补救。根据需要创建漏洞的 CVE（常见漏洞和风险）ID。}

负责任的处理策略

与大多数技术行业中的做法一样，TI PSIRT 会遵循负责任的处理策略。我们的策略介绍了 TI 采取的措施以及我们对您的期望。它以《CERT® 协调漏洞披露指南》为基础。在您提交报告之前，请查看我们的策略，它明确了我们的处理依据。

请参阅我们的可靠处理策略

安全公告

您可以在下面找到有关安全漏洞和可用仲裁的公开信息。

事件 ID	说明	发布日期（年-月-日）
TI-PSIRT-2018-060007	BLE-STACK 堆溢出问题	2018-11-01
TI-PSIRT-2019-010018	BT (BR/EDR) SIG 勘误表 11838 - 最小化 LMP 加密密钥大小的变更	2019-08-20
TI-PSIRT-2019-050023	CC256x 和 WL18xx 低功耗蓝牙 - LE 扫描漏洞 (CVE-2019-15948)	2019-11-12
TI-PSIRT-2019-060025	CC254x OAD：AES CTR 加密实施漏洞	2019-11-12
TI-PSIRT-2019-060032	CC254x OAD：AES-CBC MAC 验证漏洞	2019-11-12
TI-PSIRT-2019-100034	低功耗蓝牙 – 意外的公共密钥崩溃（SweynTooth，CVE-2019-17520）	2020-02-19
TI-PSIRT-2019-100036	低功耗蓝牙 – 无效的连接请求（SweynTooth，CVE-2019-19193）	2020-02-19
TI-PSIRT-2019-080030	SimpleLink™ 器件的变量时间标签比较	2020-02-28
TI-PSIRT-2020-020038	低功耗蓝牙、基本速率/增强型数据速率 – 方法混淆配对漏洞 (CVE-2020-10134)	2020-05-18
TI-PSIRT-2020-040043	蓝牙基本速率/增强型数据速率 – 蓝牙模拟攻击（BIAS，CVE-2020-10135）	2020-05-18
TI-PSIRT-2020-060056	低功耗 Bluetooth® – 有关 CC1350 和 CC26x0 器件通过 SPI 发送的 UNPI 数据包缺失长度检查	2020-10-07
TI-PSIRT-2020-100078	Amnesia 开源 TCP/IP 堆栈漏洞 (AMNESIA:33)	2020-12-21
TI-PSIRT-2020-070058	TI Z-Stack Zigbee 仪表组库 (ZCL) 分析函数中的潜在堆溢出漏洞	2021-01-22
TI-PSIRT-2020-080063	低功耗 Bluetooth® – 在持续 OAD 操作中更新连接 MTU 大小可能会导致缓冲区溢出	2021-03-01
TI-PSIRT-2020-100073	SimpleLink™ Wi-Fi® CC32xx/CC31xx SDK 和 SimpleLink MSP432E4 SDK 整数和缓冲区溢出问题	2021-04-29
TI-PSIRT-2020-100074	SimpleLink™ CC13XX、CC26XX、CC32XX 和 MSP432E4 整数溢出问题	2021-04-29
TI-PSIRT-2020-100076	整数和缓冲器溢出问题 – TI-NDK	2021-04-29
TI-PSIRt-2020-090066	碎片攻击 - 碎片和聚合攻击	2021-05-11
TI-PSIRT-2020-100068	Bluetooth® SIG 勘误表 – 万能钥匙协议模拟攻击	2021-05-23
TI-PSIRT-2020-100069	Bluetooth® SIG 勘误表 – LE 传统配对协议认证	2021-05-23
TI-PSIRT-2020-090070	低功耗 Bluetooth®、基本速率/增强数据速率 – PIN 码配对密钥导出	2021-05-23
TI-PSIRT-2020-080064	CC13x2、CC26x2、CC2640R2 器件中的引导映像管理器 (BIM) 潜在安全漏洞	2021-05-24
TI-PSIRT-2021-040098	可注入：向现有的低功耗 Bluetooth® 连接注入恶意流量 (CVE-2021-31615)	2021-06-22
TI-PSIRT-2021-050100	经典 Bluetooth® – BrakTooth V12 漏洞	2021-12-30
TI-PSIRT-2021-100116	针对硅器件的物理安全攻击	2022-01-31
TI-PSIRT-2021-100117	集成 HTTP 服务器 ping 实用程序漏洞	2022-02-15
TI-PSIRT-2022-100125	德州仪器 (TI) 802.15.4 堆栈：SM 配置中缺少帧计数器验证	2022-06-08
TI-PSIRT-2022-100118	CC1310 和 CC1350 器件上 ECC 输入验证缺失	2022-06-13
TI-PSIRT-2022-050133	SimpleLink™ MSP432E4 高级内存保护问题	2022-09-14
TI-PSIRT-2022-100128	德州仪器 (TI) Wi-SUN® 堆栈：帧计数器验证缺失	2023-05-12
TI-PSIRT-2022-090141	SimpleLink CC32XX SDK 整数溢出问题	2023-08-01
TI-PSIRT-2021-100120	WiLink WL18xx PN 重复使用问题	2023-08-03
TI-PSIRT-2022-120160	WL18xx MCP 驱动程序中的缓冲区溢出	2023-08-10
TI-PSIRT-2022-090143	外围设备在低功耗蓝牙安全配对中无法与中央设备成功连接	2023-08-28
TI-PSIRT-2022-120154	蓝牙 SIG 勘误表 - 重新连接 GATT 客户端时的传入通知/指示测试无效	2023-08-28
TI-PSIRT-2023-040180	MSP430FR5xxx 和 MSP430FR6xxx IP 封装写入漏洞	2023-08-29
TI-PSIRT-2023-080189	C2000 DCSM ROM 代码片段/ROP 漏洞	2023-11-13
TI PSIRT 会在适当的情况下公开披露信息；它不包括我们处理过的所有事件。有关特定事件的查询，请联系 psirt@ti.com。

媒体咨询

有关 TI 产品安全性的媒体咨询，请访问 news.ti.com。