Como Informar Vulnerabilidades de Segurança à Oracle

Se você for um parceiro ou cliente da Oracle, utilize o My Oracle Support para enviar uma solicitação de serviço contendo qualquer vulnerabilidade de segurança que tenha encontrado em um produto Oracle. Se você não for parceiro ou cliente, envie um e-mail para secalert_us@oracle.com com sua descoberta. Incentivamos as pessoas a entrarem em contato com o Oracle Security para usar criptografia de e-mail com nossa chave de criptografia.

A Oracle valoriza os membros da comunidade de pesquisa de segurança independente que identificam vulnerabilidades na segurança e trabalham com a Oracle para que as correções de segurança sejam transmitidas para todos os clientes. A política da Oracle é a de aprovar todos os pesquisadores incluídos no Lembrete de Atualização Crítica de Patches quando uma correção de erro de segurança for informada. Para serem aprovados, os pesquisadores de segurança devem seguir práticas de divulgação responsáveis, incluindo:

  • Não publicar a vulnerabilidade antes de a Oracle liberar uma correção para ela
  • Não divulgar detalhes exatos do problema, por exemplo, por meio de explorações ou códigos de prova de conceito. A Oracle não aprova vulnerabilidades encontradas por funcionários ou contratantes da Oracle e suas subsidiárias