技术

报告潜在的产品安全漏洞

关于 TI PSIRT

TI 非常重视产品的安全性。然而,我们都知道,无论在产品安全领域投入多少精力,也没有一项产品或客户系统可以保障 100% 的安全性。TI 希望了解影响我们产品的任何潜在安全问题,以便可以采取必要的措施及时解决这些问题。TI 的产品安全事件响应团队 (PSIRT) 负责监督接受和响应涉及 TI 半导体产品(包括硬件、软件和文档)的潜在安全漏洞报告的流程。

如何报告潜在的安全漏洞

您可以通过以下网址联系 TI PSIRT 以报告潜在的安全漏洞:psirt@ti.com。您的报告应使用英文编写。TI 将及时做出响应,确认已收到您的电子邮件。 

漏洞信息非常敏感。TI PSIRT 强烈建议在发送时使用 TI PSIRT PGP/GPG 密钥对所有提交的安全漏洞报告进行加密:

  • 指纹:898C ECC3 451F 9438 D972 06B6 4C13 1A0F 9AF0 04D8
  • 公共密钥文件 (ZIP,3KB)

 

可从以下位置获取用于阅读或撰写 PGP/GPG 加密邮件的免费软件:

建议在报告中添加的信息

为了帮助 TI PSIRT 对潜在安全漏洞进行分类,我们建议您提供以下信息:

  • 可能会受到影响的 TI 硬件或软件产品(包括版本或修订版本)
  • 发现潜在漏洞的方式和时间,以及发现漏洞的人员
  • 潜在漏洞的技术说明,包括任何相关的 (1) 已知漏洞和 (2) 现有 CVE ID
  • 您的联系信息,以便 TI 能提出任何必要的后续问题

报告处理过程

报告提交之后,TI 将遵循以下流程来评估潜在安全漏洞并做出响应:

  1. 通知:TI 发现潜在安全漏洞。
  2. 初始鉴别分类:TI 查看提交的报告,确定 TI 产品是否会受到影响以及是否获取了足够的信息。
  3. 技术分析:TI 从技术层面更深入地研究报告的潜在漏洞。[1]  
  4. 补救:TI 针对核实的产品安全漏洞采取合适的措施。
  5. 披露:在合适的情况下,TI 会披露关于已核实漏洞的信息,并可能提供补救措施,例如通过安全通报或公告。 

 

[1] TI 将使用 CVSS(常见的漏洞的评分系统)v3.0 对漏洞进行评分,以便正确地确定漏洞的优先级以进行分析和补救。根据需要创建漏洞的 CVE(常见漏洞和风险)ID。  

负责任的处理策略

与大多数技术行业中的做法一样,TI PSIRT 会遵循负责任的处理策略。 我们的策略介绍了 TI 采取的措施以及我们对您的期望。它以《CERT® 协调漏洞披露指南》为基础。在您提交报告之前,请查看我们的策略,它描述了我们与您的关系的基础。

安全公告 

您可以在下面找到有关安全漏洞和可用仲裁的公开信息。  

事件 ID
说明
出版日期
TI-PSIRT-2018-060007 BLE-STACK 堆溢出问题 2018 年 11 月 1 日
TI-PSIRT-2019-010018 BT (BR/EDR) SIG 勘误表 11838 - 最小化 LMP 加密密钥大小的变更 2019 年 8 月 20 日
TI-PSIRT-2019-050023 CC256x 和 WL18xx 低功耗蓝牙 - LE 扫描漏洞 (CVE-2019-15948) 2019 年 11 月 12 日
TI-PSIRT-2019-060025 CC254x OAD:AES CTR 加密实施漏洞 2019 年 11 月 12 日
TI-PSIRT-2019-060032 CC254x OAD:AES-CBC MAC 验证漏洞 2019 年 11 月 12 日
TI-PSIRT-2019-100034 低功耗蓝牙 – 意外的公共密钥崩溃(SweynTooth,CVE-2019-17520) 2020 年 2 月 19 日
TI-PSIRT-2019-100036 低功耗蓝牙 – 无效的连接请求(SweynTooth,CVE-2019-19193)
2020 年 2 月 19 日
TI-PSIRT-2019-080030 SimpleLink™ 器件的变量时间标签比较 2020 年 2 月 28 日
TI-PSIRT-2020-020038 低功耗蓝牙、基本速率/增强型数据速率 – 方法混淆配对漏洞 (CVE-2020-10134) 2020 年 5 月 18 日
TI-PSIRT-2020-040043 蓝牙基本速率/增强型数据速率 – 蓝牙模拟攻击(BIAS,CVE-2020-10135) 2020 年 5 月 18 日

TI PSIRT discloses information publicly where appropriate; this should not be considered a comprehensive list of incidents that we have handled. Inquiries regarding specific incidents can be addressed to psirt@ti.com.

媒体咨询

有关 TI 产品安全性的媒体咨询,请参阅:news.ti.com