Cómo informar sobre vulnerabilidades de la seguridad a Oracle

Si es cliente o socio de Oracle, utilice My Oracle Support para enviar un requerimiento de servicio para cualquier vulnerabilidad de la seguridad que considere que haya encontrado en un producto de Oracle. Si no es cliente o socio, envíe un correo electrónico a secalert_us@oracle.com con lo que haya descubierto. Alentamos a las personas que se comunican con Oracle Security a utilizar el cifrado de correo electrónico con nuestra clave de cifrado.

Oracle valora a los miembros de la comunidad independiente de investigación sobre seguridad que encuentran vulnerabilidades de seguridad y que trabajan con Oracle para que las correcciones de seguridad se puedan brindar a todos los clientes. La política de Oracle consiste en acreditar a todos los investigadores en el documento de Aviso de actualización de parches crítica cuando se publica una corrección para un error de seguridad. Para recibir un reconocimiento, los investigadores de seguridad deben seguir prácticas responsables de divulgación, entre las que se incluyen las siguientes:

  • No publicar la vulnerabilidad antes de que Oracle lance una corrección para esta.
  • No divulgar los detalles exactos del problema; por ejemplo, a través de aprovechamientos o un código de prueba de concepto. Oracle no acredita a empleados o contratistas de Oracle y sus subsidiarias por las vulnerabilidades que encontraron