Coordinacion CVE para vulnerabilidades en OpenGnsys.

[INCIBE-CNA]

Estimado equipo Opengnsys,

Le escribimos desde INCIBE (https://www.incibe.es), el Instituto Nacional de Ciberseguridad de España, sobre unas vulnerabilidades reportadas por un investigador externo en uno de sus productos.

Participamos en el Programa CVE como CNA Root (https://www.cve.org/ProgramOrganization/Structure), lo que nos permite asignar y publicar códigos CVE.

Tenga en cuenta que este informe no se trata de un incidente, es decir, nadie está explotando la vulnerabilidad. Desde INCIBE nos encargamos de gestionar el informe, documentación y publicación del CVE, en coordinación con las partes afectadas.

Tal y como establece nuestra política de divulgación (https://www.incibe.es/en/incibe-cert/early-warning/vulnerabilities/cve-assignment-publication), tenemos establecido por defecto un plazo de 60 días para que por su parte tome algún tipo de acción para la resolución de estas vulnerabilidades, por lo que comenzaremos a trabajar en su publicación a partir de la primera semana de Enero

Podríamos obtener algún punto de contacto donde enviar los informes ?

Muchas gracias y un saludo,

[INCIBE-CNA]

Estimado equipo Opengnsys,

Adjuntamos los borradores de las vulnerabilidades para que puedan c
Borrador_aviso_1.docx
Borrador_aviso_2.docx
Borrador_aviso_4.docx
Borrador_aviso_5.docx
omprobarlas, en el caso de que tengan alguna solución, háganoslo saber.

Un cordial saludo,

[arey-soleta]

Estimado equipo de INCIBE

¿Podéis generarnos los CVE? Este software lo usan 25 universidades públicas y así puede atraer más escrutinio público para que sea revisado a nivel internacional

[INCIBE-CNA]

Buenos días Antonio, Estamos en proceso de asignación, en breves saldrán los Cve’s. Un cordial saludo, [logo] INSTITUTO NACIONAL DE CIBERSEGURIDAD SPANISH NATIONAL CYBERSECURITY INSTITUTE INCIBE CVE Numbering Authority Team https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/asignacion-publicacion-cve ***@***.******@***.***> incibe.es<https://incibe.es/> @incibe T. +34 987 877 189 Av. José Aguado 41 / 24005 León / Spain En cumplimiento del Reglamento General de Protección de Datos de la UE (Reglamento UE 2016/679, de 27 de abril de 2016) le informamos que sus datos personales, corporativos (así como los incorporados a documentos adjuntos); y dirección de correo electrónico, podrán ser incorporados en nuestros registros con la finalidad derivada de obligaciones legales, contractuales o precontractuales o bien, para responder a sus consultas, pudiendo ejercitar sus derechos de acceso, rectificación, supresión, portabilidad, limitación del tratamiento y oposición en los términos establecidos en la legislación vigente y de manera gratuita mediante correo electrónico a ***@***.*** El responsable del tratamiento es la S.M.E. Instituto Nacional de Ciberseguridad de España M.P., S.A. Más información en nuestra web: Política de Protección de Datos Personales<https://www.incibe.es/proteccion-datos-personales> y Registro de actividad de tratamiento de datos personales<https://www.incibe.es/registro-actividad>. In compliance with the General Data Protection Regulation of the EU (Regulation EU 2016/679, of 27 April 2016) we inform you that your personal and corporate data (as well as those included in attached documents); and e-mail address, may be included in our records for the purpose derived from legal, contractual or pre-contractual obligations or in order to respond to your queries. You may exercise your rights of access, correction, cancellation, portability, limitation of processing and opposition under the terms established by current legislation and free of charge by sending an e-mail to ***@***.*** The Data Controller is S.M.E. Instituto Nacional de Ciberseguridad de España, M.P., S.A. More information is available on our website: Personal Data Protection Policy<https://www.incibe.es/proteccion-datos-personales> and Personal data processing activity log<https://www.incibe.es/registro-actividad>. De: Antonio Rey ***@***.***> Enviado el: lunes, 5 de febrero de 2024 12:27 Para: opengnsys/OpenGnsys ***@***.***> CC: Spanish National CNA ***@***.***>; Author ***@***.***> Asunto: Re: [opengnsys/OpenGnsys] Coordinacion CVE para vulnerabilidades en OpenGnsys. (Issue #4) # PRECAUCIÓN: este mensaje proviene de fuera de la organización. Por favor, no pulse enlaces o abra adjuntos a menos que conozca al remitente o bien sepa que su contenido es seguro # Estimado equipo de INCIBE ¿Podéis generarnos los CVE? Este software lo usan 25 universidades públicas y así puede atraer más escrutinio público para que sea revisado a nivel internacional — Reply to this email directly, view it on GitHub<#4 (comment)>, or unsubscribe<https://github.com/notifications/unsubscribe-auth/BDPWPQWT3UWXB7VDS2CZZLDYSC6W7AVCNFSM6AAAAAA7CZX6WCVHI2DSMVQWIX3LMV43OSLTON2WKQ3PNVWWK3TUHMYTSMRWG43DINZWHA>. You are receiving this because you authored the thread.Message ID: ***@***.******@***.***>>

[arey-soleta]

¿alguna novedad sobre este asunto?

[INCIBE-CNA]

Buenos días Antonio, Justo hoy estamos preparando la publicación 😊 En cuanto lo tengamos te actualizamos por aquí. Un saludo, [logo] INSTITUTO NACIONAL DE CIBERSEGURIDAD SPANISH NATIONAL CYBERSECURITY INSTITUTE INCIBE CVE Numbering Authority Team https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/asignacion-publicacion-cve ***@***.******@***.***> incibe.es<https://incibe.es/> @incibe T. +34 987 877 189 Av. José Aguado 41 / 24005 León / Spain En cumplimiento del Reglamento General de Protección de Datos de la UE (Reglamento UE 2016/679, de 27 de abril de 2016) le informamos que sus datos personales, corporativos (así como los incorporados a documentos adjuntos); y dirección de correo electrónico, podrán ser incorporados en nuestros registros con la finalidad derivada de obligaciones legales, contractuales o precontractuales o bien, para responder a sus consultas, pudiendo ejercitar sus derechos de acceso, rectificación, supresión, portabilidad, limitación del tratamiento y oposición en los términos establecidos en la legislación vigente y de manera gratuita mediante correo electrónico a ***@***.******@***.***>. Recordamos que los trabajadores tienen el derecho a la desconexión digital entendido como la libertad del trabajador a no tener que conectarse a ningún dispositivo digital o software corporativo, mientras esté en períodos de descanso o vacaciones, o fuera de horario laboral. El responsable del tratamiento es la S.M.E. Instituto Nacional de Ciberseguridad de España M.P., S.A. Más información en nuestra web: Política de Protección de Datos Personales<https://www.incibe.es/proteccion-datos-personales> y Registro de actividad de tratamiento de datos personales<https://www.incibe.es/registro-actividad>. In compliance with the General Data Protection Regulation of the EU (Regulation EU 2016/679, of 27 April 2016) we inform you that your personal and corporate data (as well as those included in attached documents); and e-mail address, may be included in our records for the purpose derived from legal, contractual or pre-contractual obligations or in order to respond to your queries. You may exercise your rights of access, correction, cancellation, portability, limitation of processing and opposition under the terms established by current legislation and free of charge by sending an e-mail to ***@***.******@***.***>. We remind you that workers have the right to digital disconnection, understood as the worker's freedom to not have to connect to any digital device or corporate software, while on breaks or vacations, or outside working hours. The Data Controller is S.M.E. Instituto Nacional de Ciberseguridad de España, M.P., S.A. More information is available on our website: Personal Data Protection Policy<https://www.incibe.es/proteccion-datos-personales> and Personal data processing activity log<https://www.incibe.es/registro-actividad>. De: Antonio Rey ***@***.***> Enviado el: jueves, 11 de abril de 2024 18:16 Para: opengnsys/OpenGnsys ***@***.***> CC: Spanish National CNA ***@***.***>; Author ***@***.***> Asunto: Re: [opengnsys/OpenGnsys] Coordinacion CVE para vulnerabilidades en OpenGnsys. (Issue #4) # PRECAUCIÓN: este mensaje proviene de fuera de la organización. Por favor, no pulse enlaces o abra adjuntos a menos que conozca al remitente o bien sepa que su contenido es seguro # ¿alguna novedad sobre este asunto? — Reply to this email directly, view it on GitHub<#4 (comment)>, or unsubscribe<https://github.com/notifications/unsubscribe-auth/BDPWPQTEAQ6TMXXUHUDDXNDY42ZMNAVCNFSM6AAAAAA7CZX6WCVHI2DSMVQWIX3LMV43OSLTON2WKQ3PNVWWK3TUHMZDANJQGA2TGMZQHE>. You are receiving this because you authored the thread.Message ID: ***@***.******@***.***>>

[INCIBE-CNA]

Buenos días Antonio, compartimos los enlaces del aviso: * https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-opengnsys * https://www.incibe.es/en/incibe-cert/notices/aviso/multiple-vulnerabilities-opengnsys La información de los CVE en la web de MITRE se actualizará durante el día de hoy. Un saludo.

[arey-soleta]

Gracias por el aviso.

¿Sería posible que los investigadores ofrecieran una prueba de concepto sobre los problemas de seguridad reportados?

[INCIBE-CNA]

Estimado Antonio. Muchas gracias por tu correo, ¿ podríamos obtener algún punto de contacto donde enviarte los documentos de los POC de las vulnerabilidades ?. Un cordial saludo,

[arey-soleta]

Puede enviarlo a opengnsys@soleta.eu

Nos encargaremos de coordinar el acceso a los PoC a otros miembros de la comunidad que lo soliciten