漏洞报告
报告疑似漏洞
- Amazon Web Services(AWS):要报告 AWS 云服务或开源项目的漏洞或安全问题,请访问 HackerOne 上的漏洞披露计划。如需在 H1 范围/平台之外提交内容,或要解决任何问题,请联系 aws-security@amazon.com(PGP 密钥)。
- Amazon:将 Amazon 零售服务或产品存在的漏洞或安全问题通知零售安全部门。
- 渗透测试:欢迎 AWS 客户对自己的 AWS 基础设施执行安全评测或渗透测试,而无需针对列出的服务获得事先批准。如需更多指导,请查看渗透测试政策。
- AWS 滥用:如果您怀疑 AWS 资源(例如 EC2 实例或 S3 存储桶)正被用于可疑活动,请填写 AWS 滥用表格或联系 trustandsafety@support.aws.com。
请提供任何支持资料(概念验证代码、工具输出等),以便我们了解漏洞的性质和严重性,从而更高效地回复您的报告。
Amazon CNA 范围
Amazon CNA 将发布 CVE,支持客户解决以下类别中的有效安全漏洞:
- AWS 提供并向客户公开的 AWS 服务。(例如 Amazon EC2、Amazon RDS)。
- Amazon 提供并向客户公开的 Amazon 服务。(例如 Amazon.com 卖家 API 服务)。
- 由 Amazon 或 AWS 管理的 GitHub 组织内的开源软件。
- 由 Amazon 或 AWS 发布并可从我们拥有和运营的网站或下载位置下载的客户端软件(例如 Amazon Appstore SDK、Amazon Input SDK、Amazon Kindle App、Amazon MShop App、Amazon WorkSpaces 客户端)。
- 由 Amazon 或 AWS 制造并可供客户购买和使用的设备(例如 Amazon Fire TV、Amazon Echo 设备、Amazon Kindle、AWS Outpost)。
此外,必须满足以下所有要求:
- 对客户有影响:该问题必须存在于 Amazon 或 AWS 拥有,并且对客户公开的类别中;以及
- 客户机构:修复支持的或 EOL/EOS 产品问题需要客户采取行动,包括根据风险做出修复决策(或客户需要评测可能的影响)或有效安全漏洞何时会公开(或有可能公开);以及
- CVSS 分数:4.0(中等)或更高。
被视为非漏洞的服务、软件或硬件问题包括但不限于:
- 使用正确授权的有效凭证进行的非默认配置或更改
- 以托管在 AWS 基础设施上的 Amazon 或 AWS 客户或非 AWS 站点的资产为目标
- 任何以泄露 Amazon 或 AWS 客户或员工账户为前提而获得的任何漏洞
- 针对 Amazon 或 AWS 产品(或 Amazon 或 AWS 客户)的拒绝服务(DoS)攻击
- 针对 Amazon 或 AWS 员工、办事处和数据中心的物理攻击
- 针对 Amazon 或 AWS 员工、承包商、供应商或服务提供商的社会工程
- 故意发布、传输、上传、链接或发送恶意软件
- 寻求发送未经请求的批量消息(垃圾邮件)的漏洞
AWS 漏洞报告
AWS 会竭力尽快回应,并让您随时了解进度。您将在 24 小时内收到非自动回复,确认收到您的初始报告。在整个合作期间,我们会及时提供更新信息,并每月进行沟通确认。您可以随时请求更新信息,我们欢迎进行对话以澄清任何疑虑或协调披露协调事项。
上述被视为不属于漏洞的活动也超出了 AWS 漏洞披露计划的范围。开展上述任何活动将导致永久取消参与该计划的资格。
公开通知
如果适用,AWS 将向您发送任何经过验证的漏洞的公开通知。如果可能,我们希望同时发布各个公开披露的公告。
为了保护我们的客户,AWS 请求您在我们对报告的漏洞作出处理以及告知客户(如有必要)之前,不要在任何公共场合发布或分享有关潜在漏洞的信息。同样请不要发布或分享属于我们客户的任何数据。请注意,缓解漏洞所需的时间取决于漏洞的严重程度和受影响的系统。
AWS 将以安全公告的形式在 AWS 安全网站发布公开通知。个人、公司和安全团队一般会在自己的网站和其他论坛上发布他们自己的公告,当内容相关时,我们会在 AWS 安全公告中包含指向这些第三方资源的链接。
安全港
我们认为,应当为出于良好意愿开展的安全性研究提供安全港。出于安全性研究和报告漏洞的安全港目的,我们采用了黄金标准安全港。我们期待与和我们一样热衷于保护我们的客户的安全性研究人员合作。
黄金标准安全港支持对参与善意安全性研究的组织和黑客提供保护。“善意安全性研究”是指仅出于对安全漏洞或漏洞进行善意测试、调查和/或更正的目的访问计算机,此类活动以避免对个人或公众造成任何伤害的方式进行,并且从活动中获得的信息主要用于促进所访问计算机所属的某类设备、机器或在线服务,或使用此类设备、机器或在线设备的用户服务的保障性或安全性。
我们将善意安全性研究视为受我们保护免受对抗性法律诉讼的授权活动。我们放弃我们的服务条款(“TOS”)和/或可接受使用政策(“AUP”)中与此处概述的善意安全性研究标准相冲突的任何相关限制。
这意味着,对于在本计划处于活动状态期间开展的活动,我们:
- 不会因善意安全性研究(包括规避我们为保护范围内的应用程序而使用的技术措施)而对您提起法律诉讼或举报;以及
- 将在其他人对您提起法律诉讼时,采取措施表明您进行的是善意安全性研究。
在参与您认为可能与善意安全性研究不一致或我们的政策未涉及的行为之前,您应该联系我们进行说明。
请记住,我们无法授权对第三方基础设施进行安全性研究,第三方不受本安全港声明的约束。
披露政策
提交报告后,我们将验证所报告的漏洞。如果需要其他信息才能验证或重现该问题,我们将从您这里获得该信息。完成初期调查后,将向您发送结果以及解决问题和讨论公开披露的计划。
关于处理的几个注意事项:
- 第三方产品:如果该漏洞影响第三方产品,我们将通知受影响技术的拥有者。我们将继续在您和第三方之间进行协调。没有您的允许,我们不会将您的身份透露给第三方。
- 无漏洞确认:如果我们无法验证该问题,或者发现问题不在范围内,将与您分享该结果。
- 漏洞分类:我们使用 3.1 版本的通用漏洞评分系统(CVSS)来评估潜在漏洞。生成的分数有助于量化问题的严重性以及决定我们的响应顺序。有关 CVSS 的更多信息,请参考 NVD 站点。
我们要求您在出于善意参与我们的漏洞披露计划时:
- 遵守规则,包括遵守本政策和任何其他相关协议。如果本政策与任何其他适用条款之间存在任何不一致之处,则以本政策的条款为准;
- 立即报告您发现的任何漏洞;
- 避免侵犯他人隐私、干扰我们的系统、破坏数据和/或损害用户体验;
- 仅使用前面提到的渠道与我们讨论漏洞信息;
- 在您公开披露问题之前,请提供从初次报告到解决问题的合理时间;
- 仅对范围内的系统进行测试,并遵从范围外系统和活动的要求;
- 如果漏洞提供对数据的意外访问:请将您访问的数据量限制在有效演示概念验证所需的最低限度;如果您在测试过程中遇到任何用户数据,例如个人身份信息(PII)、个人医疗保健信息(PHI)、信用卡数据或专有信息,请立即停止测试并提交报告;
- 仅与您自有的测试账户进行互动,或在账户持有人明确许可的情况下进行互动;以及
- 不要参与勒索活动。
