Как сообщить в Oracle об уязвимостях системы безопасности

Если Вы являетесь заказчиком или партнером Oracle, воспользуйтесь услугами поддержки My Oracle Support, чтобы отправить запрос на поддержку по любой уязвимости, обнаруженной в продукте Oracle. Если Вы не являетесь клиентом или партнером, сообщите о своем наблюдении по адресу secalert_us@oracle.com. Рекомендуем всем обращающимся в службу Oracle Security шифровать сообщение электронной почты с использованием нашего ключа шифрования.

Корпорация Oracle ценит вклад участников независимого исследовательского сообщества по безопасности, которые находят уязвимости и сотрудничают с Oracle, чтобы помочь выпустить исправления для всех клиентов. Согласно политике Oracle, имена всех исследователей, участвовавших в подготовке критического обновления, указываются в сопроводительной документации при выпуске исправления для обнаруженной ошибки. Чтобы вклад был засчитан, исследователи должны придерживаться разумных практик обнародования информации, включая следующее.

  • Не публиковать информацию об уязвимости до того, как Oracle выпустит исправление.
  • Не раскрывать точные сведения о проблеме, например, посредством эксплойтов или демонстрационного кода. Oracle не указывает имена обнаруживших уязвимость сотрудников и подрядчиков Oracle и дочерних компаний.