Cómo notificar vulnerabilidades de seguridad a Oracle

Si es cliente o partner de Oracle y cree que ha detectado una vulnerabilidad de seguridad en alguno de nuestros productos, envíe una solicitud de servicio a través de My Oracle Support. Si no es cliente ni partner, puede enviarnos la información por correo electrónico a la dirección secalert_us@oracle.com. Si va a ponerse en contacto con Oracle, le recomendamos utilizar cifrado de correo electrónico, mediante nuestra clave de cifrado.

Oracle aprecia a los miembros de la comunidad independiente de investigación en seguridad que detectan vulnerabilidades de seguridad y colaboran con Oracle para que podamos proporcionar correcciones de seguridad a todos nuestros clientes. Al publicar una corrección para el fallo de seguridad notificado, la política de Oracle consiste en mencionar a todos los investigadores dentro del documento de consulta de la actualización crítica. Para ser mencionados en los créditos, los investigadores en materia de seguridad deben seguir prácticas de divulgación responsables, tales como estas:

  • No publicar la vulnerabilidad antes que Oracle publique una corrección para ella.
  • No divulgar detalles concretos del problema, por ejemplo, a través de exploits o de código de prueba de concepto. Oracle no menciona en las atribuciones a empleados ni a contratistas de Oracle ni de sus filiales, por las vulnerabilidades que identifiquen.