VulReport 漏洞通報平台

VulReport 漏洞通報平台 VulReport 是一個台灣 「公益性質漏洞通報平台計劃」

VulReport 是一個台灣 「公益性質漏洞通報平台計劃」,最高原則為「任何的漏洞通報,在確認漏洞確實存在後,將盡速通報受害單位,降低漏洞可能造成的危害,並以限期修補後公開漏洞資訊的方式,期望促進並改善企業組織對於漏洞的修補態度和方式」。

我們認為漏洞情資的通報與分享,一直以來是重要的駭客精神之一,因此, VulReport 不會提供任何漏洞懸賞的服務,這意謂著在本平台上,不會有「販賣漏洞情資,並可選擇不公開漏洞」等類似的漏洞交易狀況發生。

另外,我們希望將通報機制 「制度化」及「公開化」,希望藉此加快漏洞通報速度及減少各方對於漏洞回報的猜疑,對於政府相關情資將全轉由 TWCERT 處理通報,包含政府機關及重要產業,如金融、電力和交通等。

對於漏洞的處理,我們目前僅希望將通報做好,如果受害廠商有任何需要協助修補、應變處理及資安強化的部份,VulReport 將僅提供贊助廠商給予支援,不直接涉入其中的商業行為。

對於企業組織,我們提供完全免費地會員申請,此外,只要認同並且支持本網站的企業組織,歡迎用贊助方式支持,贊助辦法待修訂和公佈。

02/12/2015

「台灣需要有一個公益性質的漏洞通報平台」,這一直是 VulReport 創建的理念。在今年年初正式開站後,廣受各駭客的喜愛及支持,VulReport 團隊也一直努力把各項漏洞盡快做好通報。然而,在幾個月的運作後,我們發現漏洞通報在台灣現行環境上,仍有許多困難需要克服,此外,在整個通報和運作的理念上,原有團隊間也有了想法上的分岐,因此在六月底至今這段期間,VulReport 暫時先關站。

前些日子,知名人士張啟元因統聯 1 元購票的新聞,又讓許多人想到了漏洞通報平台其實是可以扮演好居中協調的角色。因此,VulReport 決定重啟計畫,並且略為修改營運方向,除了維持公益性質不變之外,將重新設計更公開透明且更為流暢的通報流程和方式,並和 TWCERT 攜手合作, 希望透過公開透明且流暢的通報機制,讓大眾更能接受 VulReport 漏洞通報平台的存在。

不管您是專業的資訊安全相關研究/從業人員,或是您是具資安意識一般大眾, VulReport 皆衷心期待您的參與!
同時 VulReport 也期望企業組織的共同參與本平台!這將讓我們能更快速的聯繫企業組織,加快漏洞通報速度與縮短企業組織修補漏洞的時程。

在重新開站後,VulReport 將優先處理之前累積的漏洞通報,我們將重新驗證所有的漏洞並重新通報,同時也歡迎各位提供新的漏洞和各項寶貴建議。

VulReport 首頁:http://www.vulreport.net/
VulReport 粉絲專頁:https://www.facebook.com/vulreport/
VulReport 客服 E-mail : [email protected]

16/07/2015

VulReport 未來仍以公益為原則, 透過非營利組織型態營運,並以為台灣建構更好的資安環境為目標。

日前暫時關站,除了重新制定漏洞處理原則外,將改善通報流程,強化合作機構關係,並儘量處理累積的通報。

若有任何寶貴建議可連絡 service [at] vulreport.net ,並且希望各位能持續支持,感謝各位。

02/06/2015

VulReport 誠徵新血!
 
我們招募對網頁開發有興趣且具有熱忱的志工,需要熟悉開發 PHP、JS、CSS、MySQL、HTML,略懂 MVC、OO、Design Pattern 模式者更佳。
有意願加入我們行列的朋友,請您附上作品集或相關履歷寄至 [email protected] ,或將相關訊息私訊給粉絲團小幫手。

VulReport誠摯歡迎您! :D

VENOM ( CVE 2015-3456 ) - 上古遺物 FDC 的逆襲?CrowdStrike 的安全研究人員 - Jason Geffner,發現 QEMU 的 Floppy Disk Controller ( FDC )有緩衝區溢...
19/05/2015

VENOM ( CVE 2015-3456 ) - 上古遺物 FDC 的逆襲?
CrowdStrike 的安全研究人員 - Jason Geffner,發現 QEMU 的 Floppy Disk Controller ( FDC )有緩衝區溢位問題,可造成攻擊者跳脫出虛擬機器環境並取得存取本地端主機的權限。雖說 FDC 已是過時產物,但在許多虛擬化產品中,新增虛擬機時通常都被預設為啟用狀態。
這個被取名為 VENOM ( Virtualized Environment Neglected Operations Manipulation,虛擬環境中被忽略的執行操作) 的漏洞早於2004年就已存在,VirtualBox、KVM、Xen 和Client 端的 QEMU...等虛擬化平台皆受到其影響,但 VMware、Microsoft Hyper-V和 Bochs hypervisors 並不在此次影響範圍內。倘若 VENOM 遭成功利用,攻擊者甚至能藉此連接到本地端主機上的其它虛擬機。

VENOM 大綱介紹 (英文)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3456
http://www.securityfocus.com/bid/74640/

CrowdStrike 網站,內有針對 VENOM 的詳細資訊 (英文)
http://venom.crowdstrike.com/

詳細的 VENOM 分析,內含重現 POC 過程 (簡體中文)
http://blogs.360.cn/blog/venom-%E6%AF%92%E6%B6%B2%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%EF%BC%88qemu-kvm-cve%E2%80%902015%E2%80%903456%EF%BC%89/

圖片節錄自 CrowdStrike

24/04/2015

日前與 TWCERT 合作進行政府單位漏洞通報已獲得初步成果。
在此再次感謝通報者 Yu-Chi Ding 的熱心參與
雖然有單位以關機大絕應對,但我們仍會持續追蹤,並協助通報者爭取應有的回饋與獎勵。

各位晚安~這次要介紹的漏洞的苦主是與IIS7有關的HTTP.sys設定檔。HTTP.sys主要負責接收IIS7的HTTP或HTTPS的 request,根據request的內容來判定所屬的應用程式並將其交付該process處理。經proce...
15/04/2015

各位晚安~這次要介紹的漏洞的苦主是與IIS7有關的HTTP.sys設定檔。
HTTP.sys主要負責接收IIS7的HTTP或HTTPS的 request,根據request的內容來判定所屬的應用程式並將其交付該process處理。經process處理後的結果會再透過HTTP.sys傳送response給用戶端。
根據昨天微軟官方表示:「在 HTTP.sys不當剖析蓄意製作之 HTTP 要求的方式所導致的 HTTP 通訊協定堆疊 (HTTP.sys)中,存在遠端執行程式碼資訊安全風險。成功利用這個資訊安全風險的攻擊者,能以系統帳戶權限層級執行任意程式碼。」
因此該漏洞風險等級為重大,官方建議有安裝IIS的主機要儘快修復該漏洞喔~

相關資訊如下:
漏洞編號:CVE-2015-1635、MS15-034
官方資訊:https://technet.microsoft.com/library/security/ms15-034
CVE網站:http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1635
測試POC:http://pastebin.com/ypURDPc4

http://pastebin.com/ypURDPc4

雖然很感謝 蘋果日報 提到我們,但是目前 VulReport 的業務還沒有 ERS 這項啦~
14/04/2015

雖然很感謝 蘋果日報 提到我們,但是目前 VulReport 的業務還沒有 ERS 這項啦~

實況!台灣資訊安全大會 Track D 中「你必須認識駭客的三大原因 & 從 VulReport 談漏洞揭露與企業資安漏洞管理」議程場子大爆滿!TT (HITCON-X 總召)於開場時再度闡明駭客並非為負面角色,其實他們更努力於資訊安全的各...
01/04/2015

實況!台灣資訊安全大會 Track D 中「你必須認識駭客的三大原因 & 從 VulReport 談漏洞揭露與企業資安漏洞管理」議程場子大爆滿!

TT (HITCON-X 總召)於開場時再度闡明駭客並非為負面角色,其實他們更努力於資訊安全的各項議題,並推動資訊安全的進步。目前 HITCON 在資安推動子計畫中,除了每年固定的研討會外,尚有 HITCON Girls、HITCON Junior 及 VulReport 等計畫,來推動台灣的資訊安全。

而 VulReport 即是 HITCON 所提出的一個子計畫,本次下半場由蘇展志營運經理來介紹目前 VulReport 的運作及與企業的互動方式,同時也介紹目前國外企業相關的作法。

最後,感謝大家以行動表達對 VulReport 的支持,倘若有任何疑問也歡迎跟我們提出!

31/03/2015

2015年台灣資訊安全大會將在4/1,4/2於台北國際會議廳開始了~從事或針對資訊相關工作有興趣的夥伴們該集合了喔!
在這2天議程中,主辦單位網羅眾多熱門且重要的資訊安全議題,分別針對資訊安全政策、技術層面、防護管理以及實際應用等主題進行深入探討。
VulReport 也會於4/1下午(16:30)與大家在 Track D(企業熱門資安議題)見面唷~當天除了介紹企業面對目前揭露的漏洞該採取何種因應措施之外,也會和大家聊聊一些有趣的企業消極回應案例,歡迎各位屆時到場與我們一起同樂!(講者表示:這場演講其實沒這麼歡樂啦!)
另外,若您身為廠商或漏洞提報者,對於 VulReport 提報漏洞上仍有任何疑慮,請不吝嗇且踴躍地向講者提(搭)問(訕)吧^^

議程時間:4/1(三) 16:30 ~ 17:10
議程場地:Track D - 企業熱門資安議題
議程主題:你必須認識駭客的三大原因 & 從 VulReport 談漏洞揭露與企業資安漏洞管理
議程講者:HITCON 總召 / 蔡松廷 (TT) ∣ VulReport 營運經理 / 蘇展志

晚安,各位神通廣大的提報者們。經過大家的努力,最新確認的提報已多達400筆以上了喔!最新提交也仍持續且穩定產出,真的是非常感謝各位對台灣的資安貢獻近期 VulReport 為了加速台灣資訊安全性的提升,正積極與其他資安平台相互交流及推廣,例...
27/03/2015

晚安,各位神通廣大的提報者們。
經過大家的努力,最新確認的提報已多達400筆以上了喔!最新提交也仍持續且穩定產出,真的是非常感謝各位對台灣的資安貢獻
近期 VulReport 為了加速台灣資訊安全性的提升,正積極與其他資安平台相互交流及推廣,例如最近常見的通報夥伴 WooYun、政府 TWCERT 及學術單位 TANet CERT,甚至 VulReport 的推廣人- Sylphid 還接受了財訊的採訪唷! Sylphid 表示非常感謝財訊在專訪中給予VulReport正面的評價,但也有些內容他想要跟大家稍稍澄清,就勞煩各位瀏覽時與下方項目互相對照著看囉~
專訪報導URL: http://www.wealth.com.tw/article_in.aspx?nid=4304
澄清項目:
1.「宏碁發言系統回應,問題在售票之前已完成修補」之相關訊息,在 VulReport 發布時(開放售票後數天)仍由通報者確認尚未修補完畢,但該廠商目前已修復。
2.「網路機器人」該詞非本人說描述,正確來說應泛指為「自動化掃描工具」。
3.三年前 HITCON 成立漏洞平台規劃時,本人尚未加入該專案。
4.建置 VulReport 的任務並非由本人開始推動,僅為「協助營運角色」給予支援。
5.「一旦經由烏雲通報的漏洞,該網站如果未在5天之內予以修復,政府最重會要求該網站關站」等資訊,應為「一旦經由烏雲通報的漏洞,該網站如果未在5天之內予以回應,烏雲將會直接公布該漏洞細節」。

台灣資安問題有多嚴重,根據Vulreport漏洞回報平台的統計資料顯示,光是從該平台去年11月底試運作到今年2月上旬,所接獲的資安漏洞通報就高達400件。

實況! SITCON 學生計算機年會 - R2 ,直擊 VulReport 回報漏洞平台。學生志工招募中!意者可以透過各種管道與我們聯絡。
07/03/2015

實況! SITCON 學生計算機年會 - R2 ,直擊 VulReport 回報漏洞平台。學生志工招募中!意者可以透過各種管道與我們聯絡。

06/03/2015

早安,各位元宵節快樂(雖然已過)。
引頸而望的 SITCON 2015在今日終於開幕了!這種盛典 VulReport 當然也不能錯過囉~
VulReport 在今天14:20於第二會議室有場小小的演說唷~目的除了推廣學生族群瞭解本平台宗旨[以漏洞提報改善台灣資安環境],另一方面也是為了招募更多熱血正直的好青(少)年(女)加入我們 VulReport 的營運行列!你(妳)對我們漏洞提報內容有興趣嗎?想一起參加 VulReport 營運團隊嗎?
各位,我們需要的也許就是你(妳)唷,還不快快湧進 SITCON 會場第二會議室一探究竟吧!!!

Address

信義路5段
Taipei
110

Alerts

Be the first to know and let us send you an email when VulReport 漏洞通報平台 posts news and promotions. Your email address will not be used for any other purpose, and you can unsubscribe at any time.

Contact The Business

Send a message to VulReport 漏洞通報平台:

Share