製品セキュリティ

メニュー

PSIRT脆弱性管理

製品セキュリティインシデント対応チーム(PSIRT)の脆弱性管理の目標は、ソフトウェアやアプリケーション、ハードウェア、デバイス、サービス、ソリューションを含む製品の脆弱性について、タイムリーな情報、ガイダンス、修正を提供することで、顧客のセキュリティ脆弱性リスクを最小限に抑えることです。このチームは、ハネウェルが提供するものに関連するセキュリティ脆弱性情報の受付、調査、内部調整、修復および開示を管理しています。 当社はセキュリティ上の懸念を重要な問題として認識し、迅速に評価し対応できるよう努めています。セキュリティ上の懸念が報告されると、適切なリソースを投入して問題の分析、検証、対応を行います。

PSIRT脆弱性管理ワークフロー

発見フェーズ

潜在的なセキュリティ脆弱性の報告

独立した研究者、業界団体、ベンダー、顧客からの報告を歓迎します。潜在的な脆弱性の報告方法について詳しく知りたい方は、 脆弱性報告のページをご覧ください。

報奨金制度

現時点で、ハネウェルは報奨金制度(Bug Bounty Program)に参加しておらず、脆弱性発見に対する金銭的インセンティブは提供していません。ハネウェルは、公開 の謝辞ページで報告者やセキュリティ研究者を紹介しています。

トリアージフェーズ

この段階では、インシデントのオーナーがケースに割り当てられます。

解析フェーズ

解析段階では、徹底的な分析を行い、セキュリティ上の懸念を評価・検証します。

共通脆弱性評価システム(CVSS)

私たちは共通脆弱性スコアリングシステムバージョン3.1(CVSS v3.1) を使用して 、特定された脆弱性の深刻度を評価しています。これにより、共通のスコアリング方法と共通の言語で脆弱性の特徴や影響を伝え、脅威に応じて対応やリソースの優先順位をつけることができます。

以下の表に示す深刻度評価尺度:

セキュリティ影響評価CVSSスコア
緊急(Critical)9.0 – 10.0
高(High)7.0 – 8.9
中(Medium)4.0 – 6.9
低(Low)1.0 – 3.9

該当する場合、ハネウェルはCVSS v3.1ベーススコアを提供します。

特定の構成のリスクを評価するためにセキュリティやITの専門家に相談することを推奨し、ユーザーはネットワークパラメータに基づいて環境スコアを計算することを推奨します。また、セキュリティやIT専門家による問題評価を活用し、自社環境での対応を優先的に行うことも推奨します。

異なる基本スコア

NVDのスコアとハネウェルのスコアが異なる場合もあります。それは製品の所有者として、構成やビルド、その他複雑な問題を考慮できるからです。スコアが異なる場合は、ハネウェルの基本スコアを使用してください。

最終的な対応とコミュニケーションフェーズ

修正対応のスケジュールは、深刻度、影響を受ける製品、現在の開発サイクル、品質保証サイクル、そして問題がメジャーリリースでしか更新できないかどうかなど、多くの要因に依存します。

修正対応は以下のいずれか1つもしくは組み合わせての形態を取ることがあります。

  1. 新版のリリース
  2. ハネウェルからのパッチ提供
  3. サードパーティからのアップデートやパッチのダウンロードとインストール手順の提供
  4. 脆弱性を軽減するための回避策

ただし、当社は特定の解決策を保証するものではなく、すべての問題が修正されるとは限りません。

コミュニケーションと通知

この時点でコミュニケーション計画が決定されます。以下はいくつかのコミュニケーションの形態です。

コミュニケーション形態概要
セキュリティ注意事項脆弱性が修正された際に顧客に通知するためにリリースされることがあります。。
製品リリースノート/アップデート

リリースノートは、新しいソフトウェア/ハードウェア製品のリリースや製品アップデートを伝えるために使われることがあり、最新の変更、機能強化、バグ修正やパッチを含むことがあります。

CVEレコード

レコードは、発見された脆弱性の詳細を関係者に知らせるために公開されます。レコードには、共通脆弱性列挙(CVE)ID番号、セキュリティ脆弱性の説明、脆弱性レポートやアドバイザリーなどの関連情報が含まれます。

メディア声明ハネウェルに関するニュースや事件に対応するために使用できます。
サービス終了通知EOSL(サービス終了)通知は、ハネウェルの顧客に対して製品のサポートや販売が終了することを通知するものとなる場合があります。

開示フェーズ

顧客への脆弱性開示

必要に応じて、お客様に効率的に通知する責任を負っています。ほとんどの連絡は、パッチや回避策がリリースされた後に 当社のセキュリティ通知 サイトで公開されます。

脆弱性の詳細や再現方法についての追加情報は提供しません。特定された脆弱性に対する脆弱性の実証コード(Exploit)や概念実証(POC)コードを配布することはありません。

業界慣行に従い、内部セキュリティテストやその他のセキュリティ活動の調査結果は外部機関と共有しません。当社のサービスおよび本番システムの不正スキャンは攻撃とみなされることに注意してください。

協調脆弱性開示

協調脆弱性開示(CVD)は、ハードウェア、ソフトウェア、サービスの脆弱性を管理・軽減する上で非常に重要なプロセスです。ハネウェルのCVDへのアプローチは、パートナー、ベンダー、研究者、コミュニティコーディネーターなど様々な関係者と連携し、新たに発見された脆弱性を管理かつ調整された形で開示することを確実にすることです。複数の当事者間の調整は、各当事者の脆弱性開示方針、取り扱い方針、契約内容を理解するのに役立ち、信頼に基づくコミュニケーションと協力を促進するために不可欠です。

当事者間の透明性を高めることで、ベンダーは脆弱性がもたらすリスクをよりよく理解し管理できるようになります。この透明性は他者との連携を促進し、関係者全員が同じ認識を持つことを保証します。CVDの主な目的は、すべての関係者や顧客にタイムリーかつ一貫したガイダンスを提供し、関係者および顧客が適切にリスクへ対応できるよう支援することです。

ハネウェルもCVDに対して同様のアプローチを採用しています。脆弱性を発見した独立した報告者には直接連絡を取ることをお願いし、ハネウェルが脆弱性を公表前に調査・修正できるようにするためです。プロダクトセキュリティインシデント対応チーム(PSIRT)は調査全体を通じて通報者と連携し、進捗状況を報告します。アップデートや緩和情報が公開されると、報告者は脆弱性について公に議論することができます。

このプロセスは顧客保護に役立つだけでなく、公表が適切に調整され、報告者の調査結果が認められることを保証します。報告された脆弱性がベンダー製品に関する場合、PSIRTはベンダーに直接通知し、報告者と調整するか、第三者の調整センターを活用します。

CVDの詳細については、以下のリンクに記載されている情報をご確認ください。

脆弱性の報告

私たちは、セキュリティ脆弱性の協調的な開示を推奨します。セキュリティ研究者、業界団体、政府機関、ベンダーは、下記フォームから2つの脆弱性タイプのいずれかを選択するか、以下の詳細をメールで送ることで、Honeywellに潜在的なセキュリティ脆弱性を報告できます。

報告方法

ハネウェルは、ハネウェルの製品に脆弱性を発見したすべての方に、これらの発見を報告し、対処できるよう促しています。しかし、報告者がクレジットや優先順位付けを求めている場合、特定の項目は対象外となります。複数の脆弱性や複数の製品に脆弱性がある場合は、1つの投稿に含めて構いません。

範囲外となるもの

  • すでにCVEレコードで発見・公開されている脆弱性。
  • サポートされていない製品に見られる脆弱性。
  • ハネウェルが消費者に最新バージョンまたはアップグレードを推奨している製品に特定された脆弱性。

もし脆弱性が製品、サービス、またはソリューションに影響を与える場合は、以下の指示や詳細を添えて PSIRT@honeywell.com までメールでご連絡ください。

  • ハネウェルの公開PGP鍵(PGPキーページ参照)を使用して暗号化し、以下の事項を含めてください。
    • 製品とバージョン
    • 潜在的な脆弱性の説明
    • 問題を再現するために特に必要な構成
    • 問題を再現するためのステップバイステップの手順
    • 概念実証や脆弱性の実証コードがあれば、
      • コード スキャン には悪用可能性の証明が必要です
    • 潜在的な影響/li>

その他のセキュリティ問題については、 以下の指示を添えて メールで Security@honeywell.com までご連絡ください。

  • ハネウェルの公開PGP鍵(PGPキーページ参照)を使用して暗号化し、以下の事項を含めてください。
    • ウェブサイトのURLまたは所在地
    • 脆弱性の種類(XSS、Injectionなど)
    • 脆弱性を再現するための指示
    • 概念実証や脆弱性実証コード、攻撃者が脆弱性をどのように悪用できるかなど
    • 潜在的な影響

PGPキーはこちらからダウンロードできます。

スキャン

PGPキー

-----BEGIN PGP PUBLIC KEY BLOCK-----

mQINBGd9hOwBEADMjbVEqCfesFbIgEJg48jdZ4gtNXu7RQWRkPY8L2OStdEV+/Ju 8lqdeq9SmtnX5HX34MweRxyI198KSvdzGZoCyCV/GHs2XE+WLbmSW/b1fytvzMw/ NxuflLiTKY0Yyz6Y67Fx4AIczrGeRNKALEsB3snei3X/WHFdTJ8Dq9fqBeDTxjb7 8jk9WkWb/Oi7FsAOv3KMdS/Zs+SlfuYmR8OOQ1v05ODRjKyS2ng25sMphAej2KlY 2N0HWqblvqIHsHQbAammxH5gaMvSbKuPQ7MgjpUrP4TO7u0DdP/OY97OJM8u9tcg VyaiAF1CuIYmr8CpvmbmaVMOK6RgGqOrYdy14RjrjrgLJTmTwjzfLAfd+oR4QlSL tlVgiM8wK6ehVQ5AO1OQnwBw6YujOON9fCSt1HGaPKofi1iB35G5VNUJRV4H1+2o L66rjIBHLK5if4587hqWg66l36lnyJxnqYY0JhN5ioAJcee9k2Tzqyvk2XGEBVvX ZgtEwce2l4aSYB5yNMNRkO6qVVg1BbMK6uS9bl+dcw9CvWQsjF0u0NP6kyQow2ci yU6rmKtuEuUhUHBpNq4qmIbIU0WJiLLzqUP9ipMvf885WNfdFdVZkAvzOCzFsgW3 d+ll90UEcEl97Zi8qC7uepTfV/BPjKAeHDhRMumexd9imz9nEqlNfU3LNwARAQAB tCtIb25leXdlbGwgU2VjdXJpdHkgPFNlY3VyaXR5QEhvbmV5d2VsbC5jb20+iQJX BBMBCABBFiEEm3//z1146f4I+tK0dj5q1cmHq0AFAmd9hXkCGwMFCQeGHukFCwkI BwICIgIGFQoJCAsCBBYCAwECHgcCF4AACgkQdj5q1cmHq0CKlw//S5g6N8ZuwNpW VPIb0DpS4/HSLguRodKfrAahgtE6d6giwNKAsXvtHnTn3DpWz1ISyzYC8EeWsNqW 6tO9rvlcN2Frg5MD5OIWpnOE54eDTt/pxH9iE0M8dKzs49CgFiiBGZjUrW+GcYHm O6nRL6oU2gBwqzVpWpPx7i0Vr4f7R01ABVolBYteCSW0dofWKF3dl2Oh1Hek6dkV Dd3gjyP/UEflum1OvGdiARy8d5u9MJDA9Gxh7Mpcf2Ch/WAfaIIIGGQInveiJCqx +w1C/G4E8P1v4ejO44+CZHxFmEc40fpUXr1azFTXiORjXsDEfSrxty9/MEbQ38p2 v/m72DLL+0kyMgovx87vAUaikDRo7EhuA1rK4XgH9oohf08aYUobC3BbSLYnulId OGHx0fstY3dDSM0Hg7l19XwTBmx/rK5QN7/ksmWn8mjCi1jonrHGtdEMPyDOEkLO KtYsyvECibbXNKegUP2T4eQC0iiNWYg5TprCcs+Ym7lFeV1i7wDJX/aYEVQ/nkNo pk7asIJ0Ho6xuuGsSd25quGu3uDVt69O4NCCrTNxJkmE+iytp1EqcwQzx/qnz9GF EtO+AZ089Tuq7SLtvIjq2dfgRWN+cV8Zu4a5cE9+zZXInmeFffwmE31i/Cwmo2b8 l+QcN6AWPSSK+Tno4ISP0xDMIzl/Cki0JUhvbmV5d2VsbCBQU0lSVCA8UFNJUlRA aG9uZXl3ZWxsLmNvbT6JAlcEEwEIAEEWIQSbf//PXXjp/gj60rR2PmrVyYerQAUC Z32E7AIbAwUJB4Ye6QULCQgHAgIiAgYVCgkICwIEFgIDAQIeBwIXgAAKCRB2PmrV yYerQOKoD/49tsvcfxGrY5LNISTkFHXFhngzI4yLmgM6/y9vInJ8B9mTYk9SAEfb sC8IbJ9yDQWXboXqYkmlBBX7mcJVCTaabojedLwrCrjrkCSeCseOX/UzB92rejS1 V3nA6gY99otY+nvKhUgDo8masiqvcx8n3XMIcHZrjOEIyik1T/vv68QkfVksFFbj u0QAsoDSeZerBc+k3ui29hBg5EEhjSYhGKdRejhTgi9xEi1E+9NrF6EPirCf+IZJ uDkRxfSTangae8cuEIcrWI6ckf45YtzFwkG43Y8fMkLibmb0F+DLYF5HCandMRKC W5MLshjvFf7iE3FlkAbsUtTDmiEKT3BBw1Apkz9+yIwROxPJIbatYKepzAKsgagQ GfWhBXQYojdlbXZJy8WyIYVkXwEp/MjH2pDhHFWmLGWz8JeFHxRSEqoOdw/JVa0I mOM3U1lVqtzp0U0b7P53b74EYNPMCaIhIXmKSBPKnqgv36UrW+RZuwu7x/eZU4V4 lMm9iS7zCqyS/PXzuIDqpPpeVBBNyQa7zeB4L9PrsBZE0dTOlODoGZ1Od5zZwP0G bu5lW5AE/Zq0BeO/78pfL/4KuAypNClz6pIQU5lKI9LkrtQbns6TQML0tGKBdSaM SZeC/ONM8AXAxDNQWgOTvvxuB80Un6PP5qHUat685AsLsNkOceL9VbQjSG9uZXl3 ZWxsIENJUlQgPENJUlRASG9uZXl3ZWxsLmNvbT6JAloEEwEIAEQCGwMFCQeGHukF CwkIBwICIgIGFQoJCAsCBBYCAwECHgcCF4AWIQSbf//PXXjp/gj60rR2PmrVyYer QAUCZ32FtAIZAQAKCRB2PmrVyYerQNt2D/93Y/6ERjpFdDsE55XfSTokliDsLRAj TYxnQVSJvar4LTSlbWxUUsGkGNGoI3soCbXHztRBbidiy1RYfqe5T39GR4cY5wjY azAsqKbdqUZNRWOgrNyEcBxPCHoj3PGw653pdXP807y/WlDrZ2LW74Wu5ubeRvz6 qkSuTN8tBHJct59OMZIrvVzEhGGNBCHMhexzDPeE8hIsy6q7Xm4ENYaYiYEaxgGG i3dkNUAM2460ep3G4qev+99qqMTO+lSaOCXM2smfG3Vx67x9bxW68xGShejYbaWP ig+ArMEcuKDt15OXW2agVy0EFw+u4zmKqNWhMLXTXXXCqAtiEeccHKeBQR6oOyuN xH+rqhLmjtwW+QJCogfUdlSyH0f15ccrVXWx6FsTa1BYWVXOGMA62MiDeI5TY7Iz Lm+f24eTAFFV0qXiFepERLTKKBrKzqbkB3+8RBsUv6EncA5wZBc7c3VyexNm3ahF a4k7RnRrV/hgtNbACzYEHcAXEJ5LHFPmpa4czjMO2kqLlN9H1kL90dHGlm0UFAuR GzZcItp2xTEYXdGLf7YRNi6sT/8CEMKSLAgOleZ8+mDD57XKL6L1AaTuLP+UkYcC 24EH/hcYvIh0wzjUaeQmuJIu866TlvYjUgZW1kmptqCJAQWeAgcSCUxpFwZF2Zxv 7G17/59tV3XIkbQlSG9uZXl3ZWxsIEFidXNlIDxBYnVzZUBIb25leXdlbGwuY29t PokCVwQTAQgAQRYhBJt//89deOn+CPrStHY+atXJh6tABQJnfYVrAhsDBQkHhh7p BQsJCAcCAiICBhUKCQgLAgQWAgMBAh4HAheAAAoJEHY+atXJh6tAiBEP+weuHOiO nc6sp0ifddx3unwSgGf4mJ7AHbC7R5IK4LOZ3mgwhiqZBtdwichJYbRfBTFgmqrv 2vUFVuY8xjfPS07xX1uMM3R2cY/37/4MguUrma40FohjkuUI4jsMYYpLJOm1HRRl rg/GJjzmQtwxDZkgwlOPG64TEGqqbYX1jR4PRpDRRGAc45j+RW5RkvFNGcUxGGil 9NMUPJ5inTPd5zBfuucZHrqmNfbucoYClBAm7IAyvagzn3yMOza25hzeXk0YH43q znsnekwdAnbjp0haxVEunzaivrzFHa03RS+YUJrLSY65NKWUiRMjo4w6klcVq7Vs xsbM3rEkLeWb213gGGcVQ7swAsUYVu4YFPuXrlZQspU7vKnKRaCRwArYGN30dQcV sXcE/s/bDUcELezdUUHHmfW/LDRivcxP/Hi3bDiB2dN3J53a+HgMUAuGShebtKCs j8KurgoL9DQ14k32tr39uEgavayZXTsk3q9KkMkP9DwpMPj9T0Lq+Vx7W4sNzP5i TMOLPMXW4KwxhdstT8ktwQcV9bU1QLoVnN4g4JC5fefhAtDxdBcf+hLhJmjmCas8 CbcgaVQevw18H4duaBiwpfhrHmzXhPt/62M3jDJ6Yb2ruhLsZfkKHvYNJQYJYOQZ /D4Juh3foGh8j+jLnBcEvMRdvTHTh2rH5d4EuQINBGd9hOwBEAC6Aj843QiAMatT dit4DqWaCL54FIUSc12OmiHq1AvFu4bM8BmbQk+BSTvOlhuY0gvT1X8nZStR3kPO XeVUVF6kwqd6QdXQDgvO0KhRMEVCrH97ex+Kosj0hJyoFQ8c0+gmmLc/uze4T3be KQpcrg5rdSv92dj4lxhHDi8aCD2SmUqYcFHfsFIQQt5tg8mMSNs6DpJEZwjNZ18I CDt3u86TcZF6Eu+RUvGqUY1UPjAHAmA5lMHVv33nWcP6NertqcW3la+ybvRSsixY yPRjKjE9Q8aSyBXZehic3oI6JudQQD9cNmgTn0m1zSZaRJkNaaSnJngyqfUWUO9s jeb/DTq9qKfyFe1omHtMD4fOEKnZmMZHAXChIEIwokpIYrC91LYri4g82X+I9idc oG99z6o6xz64BHcwPMjRZ5n6SAXnl73yyc78EdQ6nmoAjMURoGugYh/oCLNJ4OqC GYjubUq9TZyRZJ62G4J/70/ZwqT4USAH40BGC3yM9mHAiP9naHWwQtDzTblQ4wnT l9CyPpwwk2NP2M9jhsBJ+AQebs7Ir+gGi0g0qOzs/pLAZ8wJmeYBQaRrIipsoEmK vJVKa4e4908Djyz4Zni9jBtaNU5brma9Sw9juWLrYLANlqaxbDKpSXPwsXRzxwg3 qJV1+A+sUBWvapE+Ip1lil3lm+anJwARAQABiQI8BBgBCAAmFiEEm3//z1146f4I +tK0dj5q1cmHq0AFAmd9hOwCGwwFCQeGHukACgkQdj5q1cmHq0AxgRAAunAHTNhi uHSAXOl+lX5s1X6hk5THGiC4KH2sTtRAlx8IADZPD8qcpmbf1mM6LHIfHA0zbor8 BZ2TdNhmkticy94IZPifogRz97rih3+2Qh/xEHpX5K8RMuYIco+kyiEYXS0AbZ7m 6AwUEMcKf1hKCqnh+jw0HxnTyQ3u0ExvutWsZujh3jGQBKimEZyjamxeoPt7jQsW l5T1aJxsMEDMmEYQgBVSlKMbek3Gv9h1iG9KvYY2T83t41e5S5+IO+Zbg9eBx7Pt PEOSFz4L6YbFOK2sqAeTX9qita2Uu86abgexxysqyp7aD9gFZ+7PsN8yUnRn9pVX w4k3j5xxRbTmd5zTMMHjuWjpMHR6amcbpqd1crw7EgdyldU6HifHH9OOfekkz4b9 RaDg4oNcS1l+cwtJMoMoUfrVg6yz8+kq4Fe/pVZMKMkB4KALQuYtDhRibsO8IxVO upGlswZtV1BeccUEeBTfYFeNbrm6zfpvhE+6NG8rg9i5awrr6lc4+8AmAGB6IuhK jGQCSzC3mwfRxLzaTnqhsSPO1HahYyAsOsK4gbtAUyNa7U9bRcvb5aUmRA5gTQKJ BGFx7fcVRqsIden/G3eEfZTxUT1rbYbBitaNyDMPcec3bCRg3d3aVxnQvCqons8/ 7r09DvoCJxqTZSDCvM0IapvGqBhJyH4HVlc= =4ddc

-----END PGP PUBLIC KEY BLOCK-----

謝辞

環境に脆弱性を報告されたすべての方々に感謝の意を表します。私たちは、私たちの安全を守るために協力してくれるこれらのセキュリティ研究者に感謝しています。

REPORTERS NAMEASSOCIATION LINK
Umut Pirkocahttps://www.linkedin.com/in/umut-c/
Luca Borzacchiellohttps://github.com/borzacchiello
Rizki Makmunsyah Nasutionhttps://www.instagram.com/kota_404/
Farzan Karimihttps://www.linkedin.com/in/karimi/

REPORTERS NAMEASSOCIATION LINK 
Aniket Anil Deshmane*https://twitter.com/AniketDeshmane9?s=08 
Armanul Miraz@mirazdevox 
Ben Leonard-Lagarde  
Carl Dworzack  
Danish Tariqhttps://www.linkedin.com/in/danishtariqq/ 
Harinder Singhhttps://www.linkedin.com/in/lambardar 
Husain Murabbi (cyber_humans)https://www.linkedin.com/in/husain-murabbi-cyberhumans/ 
Joel Sanchezhttps://www.linkedin.com/in/joel-sanchez-199b79123/ 
Joost BakkerBovenIJ ziekenhuis 
Martino Tommasini   
Mansoor Rangwala (cyber_humans)https://www.linkedin.com/in/mansoor-rangwala-cyberhumans/ 
Netan Mangal*https://www.linkedin.com/in/netanmangal 
Pratik Sunil Tryambake  
Rajnish Kumar Guptahttps://www.linkedin.com/in/geekyrajnish 
Rick de Jagerhttps://github.com/RickdeJager 
Swapnil Maurya@swapmaurya20 
Thilo Mohrihttps://www.linkedin.com/in/tmohri/ 
Todd Heflinwww.linkedin.com/in/taterbrown 
Tracy Williamshttps://www.linkedin.com/in/battletroll/ 
Vinayak Chaturvedihttps://www.linkedin.com/in/vinayak-chaturvedi-348b071a1 

REPORTERS NAMEASSOCIATION LINK 
Alberto Perez Agudo  
Athul Jayaramhttps://www.linkedin.com/in/athuljayaram 
Dominique van Dorsselaer  
GwanYeong Kim@sec_karas 
Jan Koprivahttps://www.linkedin.com/in/jan-kopriva/ 
Mohammed Adamhttps://www.linkedin.com/in/mohammedadam24/ 
Rahul Gamithttps://www.linkedin.com/in/rahul-gamit-54a93a188/ 
Ramkumar Ganesanhttps://www.linkedin.com/in/ram-kumar94 
Ronak Naharhttps://www.linkedin.com/in/naharronak/ 
Sreekanth Reddyhttps://twitter.com/sree_appsec 
Sumit Grover@sumgr0  

REPORTERS NAMEASSOCIATION LINK 
Abhishek Misalhttp://www.linkedin.com/in/abhishek-misal 
B. Dhiyaneshwaran  
Bill Ben Haim
https://www.linkedin.com/in/bill-ben-haim-b6775a48/ 
Kapil Kulkarni*
https://www.linkedin.com/in/kapil-kulkarni-oscp-ceh-chfi-5a333763/ 
Mohamed Hamedhttps://www.linkedin.com/in/mohamed-hamed-239378163/ 
Nitish Shahhttps://twitter.com/iamNitishShah 
Pethuraj Mhttps://www.pethuraj.in/ 
Udhaya Prakash C* @Udhaya_ISRO 
Utkarsh Agrawal https://twitter.com/agrawalsmart7 
Vijiln@vijiln 

REPORTERS NAMEASSOCIATION LINK 
Abdul Haq Khokhar@abdulhaqkhokhar 
Abdul Rehman Qureshi  
Abhineeti Singhhttps://my.linkedin.com/in/abhineeti-singh-739628a4 
Alexander Sidukov (Positive Technologies)@cyberopus 
Alisha Sheikhhttps://in.linkedin.com/in/alisha-sheikh-96059615a 
Amit Kumarhttps://www.linkedin.com/in/amit-kumar-9853731a4 
Angkan Chanda  
Ari Apridanahttps://www.linkedin.com/in/ariapridana/ 
Ashish Kunwar@D0rkerDevil 
Ayush Pandeyhttps://www.linkedin.com/in/ayush-pandey-148797175 
Gayatri Rachakondahttps://www.linkedin.com/in/gayatri-r-8368a3110 
Gjoko Krstichttps://www.linkedin.com/in/gjokokrstic 
Harish Phttps://www.linkedin.com/in/harish-p-62b38a158 
Harshal S. Sharmahttps://www.linkedin.com/in/harshalss-war10ck/ 
Jayesh Patelhttps://www.breachlock.com 
Joachim Kerschbaumer https://twitter.com/joachimk 
Jose Carlos Exposito Bueno  
Khaled Sakrhttps://www.linkedin.com/in/khaled-sakr-61821698 
Lutfu Mert Ceylanhttps://linkedin.com/in/lutfumertceylan/ 
Mahad Ahmed  
Maxim Rupphttp://rupp.it/ 
Mikael VingaardVingaard.dk 
Mindset Technologieshttps://mindsetechnologies.com/certificates 
Mohammed Faiz Quadrihttps://my.linkedin.com/in/mfaquadri 
Nadav Erez (Claroty)https://www.linkedin.com/in/nadav-erez/ 
Nick Jensenhttps://www.linkedin.com/in/nickmarcjensen/ 
Pratik Khalanehttps://www.linkedin.com/in/pratik-khalane/ 
Rei Henigman (Claroty)  
Saurabh Shindehttps://www.linkedin.com/in/saurabhshinde96/ 
Serge Lacroutehttps://www.linkedin.com/in/serge-lacroute-677a3b134/ 
Srikar Vhttps://linkedin.com/in/exp1o1t9r 
Steven Hampton@keritzy 
Tansel ÇETİN@tansbey 
Umesh Jore*https://www.linkedin.com/in/umesh-jore-55015194 
Varun Thorathttps://www.linkedin.com/in/3xtrinsic/ 
Vasim Shaikhhttps://www.linkedin.com/in/vasim-shaikh-094507110 
Venkatesh Sivakumar@PranavVenkats  
Victor Curaleahttps://twitter.com/VictorCuralea 
Victor Hylejamhttps://twitter.com/ov3rflow1 
Wai Yan Aung@waiyanaun9  
Yunus Aydinhttps://www.linkedin.com/in/aydinnyunus/ 

* Indicates multiple submissions

セキュリティ注意事項

以下は公開されているハネウェルセキュリティ通知の一覧です。ハネウェルは、記載されたセキュリティ問題の緩和策に関して、本通知に記載されたガイダンスに従うことを推奨しています。

Honeywell Process Solutions(HPS)製品のセキュリティ通知をお探しのお客様は、こちら をクリックして認証情報でログインしてセキュリティ通知にアクセスしてください。

タイトル/SN ID#影響を受ける製品/製品ファミリーCVE/ICSA重要度公開最終更新
Asure ID Software Removal
2024-07-01 01
Niagara EntSec from 4.10u8 and 4.13u3NANA2024-07-012024-07-01
Niagara libwebp Vulnerability
2024-01-09 01
Mulitple Niagara Framework, Niagara EntSec versionsCVE-2023-4863Medium2024-01-092024-07-01
Spring4Shell NO IMPACT
2022-04-09 01
Niagara Framework and Niagara EntSecCVE-2022-22963NA2022-04-092023-05-31
Niagara MQTT Driver Vulnerability
2022-03-14 01
Mulitple Niagara Framework, Niagara EntSec versionsNAMedium2022-03-142023-05-31
Niagara Hx Profile Vulnerability
2022-02-11 01
Mulitple Niagara Framework, Niagara EntSec versionsNAMedium2022-02-112023-05-31
Niagara log4j NO IMPACT
2021-12-13 01
Niagara Framework and Niagara EntSecCVE-2021-44228NA2021-12-132021-12-13
Niagara QNX BadAlloc, Privilege Escalation, and JxBrowser Vulnerabilities
2021-09-09 01
Mulitple Niagara Framework, Niagara EntSec versions, and QNX based productsCVE-2021-22156Medium2021-09-092021-12-13
Niagara JNLP/Web Start Vulnerability
2021-03-31 01
Mulitple Niagara Framework, Niagara EntSec versionsNAMedium2021-03-312021-12-13
Niagara TLS Timeout Vulnerability
2020-07-28 01
Niagara 4.6, 4.7, 4.8; Niagara EntSec 2.4, 4.8CVE-2020-14483Medium2020-07-282020-12-21
Niagara Ripple20 NO IMPACT
2020-06-30 01
Niagara JACE-8000, Edge10ICSA-20-168-01NA2020-06-302020-12-21
Niagara JRE and Bouncycastle fixes
2020-02-26 01
Niagara AX 3.8, Niagara EntSec 2.3NANA2020-02-262020-12-21
Niagara QNX Vulnerabilities (Niagara Software)
2019-08-27 01
Niagara AX 3.8u4, Niagara 4.4u3, Niagara 4.7u1NAHigh2019-08-272020-07-06
Niagara QNX Vulnerabilities (Niagara EntSec Software)
2019-08-23 01
Niagara EntSec ProductsNANA2019-08-232020-07-06
Niagara Chromium Vulnerability
2019-05-09 01
Niagara 4.4u2, 4.6, 4.7CVE-2019-5786High2019-05-092020-07-06
Niagara Framework GuidelinesNiagara Framework ProductsNANA2019-05-102020-07-06
Niagara Cross-Site Scripting Vulnerability
2018-11-12 01
Niagara AX 3.8u4, Niagara 4.4u2, Niagara 4.6, Niagara EntSec 2.3u1NAMedium2018-11-122019-02-05
Update Release for Niagara AX and Niagara 4
2018-06-01 01
Niagara AX 3.8, Niagara 4.4NANA2018-06-012019-02-05
Tridium Wi-Fi WPA/2 Protocol Vulnerabilities
2017-10-16 01
JACE 8000, Jace 70010 CVEsHigh2017-10-162018-08-06
Goldeneye/Petya, WannaCrypt/WannaCry ResourceAll Niagara ProductsMultipleHigh2017-05-012018-08-06
Niagara Hardening Guide Against WannaCry VulnerabilitiesNiagara Framework and Niagara EntSecMultipleHigh2017-05-012018-08-06
Niagara POODLE SSLv3 Vulnerability
2014-10-21 01
All Niagara ProductsCVE-2014-3566Critical2014-10-212018-08-06
Tridium Shellshock Vulnerability NO IMPACT
2014-09-30 01
All Tridium ProductsNANA2014-09-302018-08-06
Tridium Heartbleed Vulnerability NO IMPACT
2014-04-10 01
All Tridium ProductsNANA2014-04-102018-08-06
MPA2 Web Application XSS
2024-03-08 01
MPA2 vR1.00.08.05CVE-2023-1841High2024-03-082024-03-08
HW OmniClass/iClass Encoder Secure Channel Downgrade
2024-01-31 01
HW OmniClass 2.0 Contactless Smart, Multi-Technology, and BLE Readers, HID iCLASS® SE™ CP1000 Encoder, HID® iCLASS® SE™ and OMNIKEY® Secure Elements, Third-party products that use HID’s OEM module for reading HID cardsCVE-2024-23806
CVE-2024-22338
High2024-01-312024-01-31
Voice Console XSS
2023-12-20 02
Voice Console v5.6.2, v5.6.3CVE-2023-6590Medium2023-12-202023-12-20
HVoice Console Blind SQL Injection
2023-12-20 01
Voice Console v5.6.2, v5.6.3NAHigh2023-12-202023-12-20
PM23/43 Command Injection
2023-08-01 01
PM23/43 PrintersCVE-2023-3710Critical2023-09-122023-09-12
PM23/43 Session ID Vulnerability
2023-08-02 01
PM23/43 PrintersCVE-2023-3711High2023-09-122023-09-12
PM23/43 Privilege Escalation Vulnerability
2023-08-03 01
PM23/43 PrintersCVE-2023-3712High2023-09-122023-09-12
Command Injection HDZP252DI
2022-01-26 01
Camera Model HDZP252DICVE-2021-39363Medium2022-01-262022-01-26
Video Replay Vulnerability HBW2PER1
2022-01-26 02
Camera Model HBW2PER1CVE-2021-39364Medium2022-01-262022-01-26
HBT Apache Log4j Vulnerability
2021-HBT-12-14 01 V2
Apache Log4j LibrariesCVE-2021-44228
CVE-2021-45046
Critical2021-12-162021-12-16
SPS Apache Log4j Vulnerability
2021-SPS-12-14 01 V2
Apache Log4j LibrariesCVE-2021-44228
CVE-2021-45046
CVE-2021-45105
Critical2021-12-162021-12-22
Honeywell Security UK LTD Battery Compliance
2021-09-20 01
Honeywell Security UK Ltd Battery ProductsNANA2021-09-202021-09-20
Wi-Fi Vulnerabilities (Frag Attacks)Wi-Fi DevicesNAVaries2020-08-152020-08-15
Mobility Products RCE and DOS Vulnerabilities
2020-08-14 01
Thor VM1A, Thor VM3A, CK65, CN80, CN80G, CN85, CT40, CT60, EDA60K, EDA51, EDA71, EDA61KCVE-2020-11201
CVE-2020-11202
CVE-2020-11206
CVE-2020-11207
CVE-2020-11208
CVE-2020-11209
High2020-08-142020-08-14
Ripple20 Vulnerability
2020-07-17 01
RL 3/4, RL 3e/4e, RP 2/4, E-Class, I-Class, MP Compact MkIII, A-Class, H-Class, M-Class, PB 21/22/31/32, PB 50/51, PR2/3, PD42, PM4i, PX4i, PX6iICSA-20-168-01High2020-07-172020-07-17
Ripple20 NO IMPACT Notification
2020-07-02 01
Honeywell Commercial Security Video ProductsNANA2020-07-022020-07-02
Kr00k NO IMPACT Notification
2020-03-03 01
Honeywell Productivity ProductsCVE-2019-15126NA2020-03-032020-03-03
Unauthenticated RCE via unsafe binary deserialization and Unauthenticated Remote arbitrary SQL command injection
2019-10-25 01
MAXPRO VMS HNMSWVMS, MAXPRO VMS HNMSWVMSLT, MAXPRO NVR XE, MAXPRO NVR SE, MAXPRO NVR PE, MAXPRO NVR MPNVRSWXXCVE-2020-6959
CVE-2020-6960
ICSA-20-021-01
High2019-10-252019-10-25
IP Camera DoS Vulnerability
2019-09-13 01
equIP® Series Cameras: H4L2GR1, HBL2GR1, HCL2G, H4W2GR1, H4W2GR2, H4W4GR1, H3W2GR1, H3W2GR2, H3W4GR1, HBW2GR1, HBW4GR1, HBW2GR3, HCW2G, HCW4GCVE-2019-18228
ICSA-19-304-02
High2019-09-132019-09-13
IP Camera and Recorder Replay Attack Vulnerability
2019-09-13 02
equIP® Series Cameras, Performance Series Cameras, RecordersCVE-2019-18226
ICSA-19-304-04
High2019-09-132019-09-13
IP Camera Unauthenticated Access to Audio Vulnerability
2019-09-04 01
equIP® Series Cameras, Performance Series CamerasCVE-2019-18230
ICSA-19-304-03
High2019-09-042019-09-04
IP Camera/NVR Configuration Data Information Disclosure Potential Vulnerability
2019-04-30 01
Performance IP Series Cameras, Performance Series NVRsCVE-2019-13523
ICSA-19-260-03
Medium2019-04-302019-04-30
Android OS Privilege Elevation Vulnerability
2018-09-18 01
CT60, CN80, CT40, CK75, CN75, CN75e, CT50, D75e, CN51, EDA50k, EDA50, EDA70, EDA60k, EDA51CVE-2018-14825
ICSA-18-256-01
High2018-09-132018-09-13
Processor Vulnerabilities (Spectre and Meltdown)
2018-04-19 01
CN75, CN75e, CK75, CV41, CV31, CV61, D99 SERIES, CK3R, CK3X, CN70, CN70e, CK70, CK71, Tecton, AND Various Dolphin, Thor, and Talkman ProductsCVE-2017-5754
CVE-2017-5753
CVE-2017-5715
Critical2018-04-192018-04-19
Wi-Fi Vulnerability KRACK
2017-12-04 01
70+ Honeywell Productivity Products (WPA2 vulnerability)10 CVEsHigh2017-12-042017-12-04
BlueBorne Vulnerability
2017-11-13 01
Honeywell Productivity Products with Bluetooth Capability8 CVEsHigh2017-11-132017-11-13
Experion Controller and SMSC S300 Modification Vulnerabilities ICSA-24-116-04Honeywell Experion PKS, Experion LX, PlantCruise by Experion, Safety Manager, Safety Manager SC16 CVEsCritical2024-04-052024-04-05
Honeywell Softmaster Uncontrolled Search Path Vulnerability ICSA-22-256-02Softmaster ProductsCVE-2022-2333
CVE-2022-2332
High2022-09-132022-09-13
ControlEdge Hard-coded Credentials ICSA-22-242-06ControlEdge ProductsCVE-2022-30318Critical2022-08-302022-08-30
Experion LX Missing Auth for Critical Function ICSA-22-242-07Experion LX ProductsCVE-2022-30317Critical2022-08-302022-08-30
IQ Series Cleartext Transmission Vulnerability ICSA-22-242-08IQ Series ControllersCVE-2022-30312High2022-08-302022-08-30
Saia Burgess PG5 Auth Bypass and Use of Broken Cryptographic Algorithm ICSA-22-207-03Saia Burgess PG5 PCD ProductsCVE-2022-30319
CVE-2022-30320
High2022-07-282022-07-28
Safety Manager Missing Auth, Use of Hard-coded credentials, and Insufficient Verification of Data Authenticity ICSA-22-207-02Honeywell Safety Manager ProductsCVE-2022-30315
CVE-2022-30313
CVE-2022-30316
CVE-2022-30314
High2022-07-262022-07-26
Experion PKS Path Traversal, Unrestricted Upload, and Improper Neutralization of Special Elements in Output Vulnerabilities ICSA-21-278-04Experion PKS C200, C200E, C300, ACE ControllersCVE-2021-38397
CVE-2021-38395
CVE-2021-38399
Critical2021-10-052021-10-05
OPC UA Heap-Based Buffer Overflow, Out-of-Bounds Read, Improper check, and Uncontrolled Resource Consumption Vulnerabilities ICSA-21-021-03OPC UA Tunneller versions prior to 6.3.0.8233CVE-2020-27297
CVE-2020-27299
CVE-2020-27274
CVE-2020-27295
Critical2021-01-212021-01-21
ControlEdge Cleartext Transmission Vulnerabilites ICSA-20-175-02ControlEdge PLC R130.2, R140, R150, R151. ControlEdge RTU R101, R110, R140, R150, R151CVE-2020-10628
CVE-2020-10624
Medium2020-06-232020-06-23
WIN-PAK CSRF, Improper Neutralization of HTTP Headers, and Use of Obsolete Function Vulnerabilities ICSA-20-056-05WIN-PAK 4.7.2 Web and Prior VersionsCVE-2020-7005
CVE-2020-6982
CVE-2020-6978
High2020-02-252020-02-25
NWS Authentication Bypass and Path Traversal Vulnerabilities ICSA-20-051-03Notifier Web Server (NWS) Version 5.50 and priorCVE-2020-6972
CVE-2020-6974
Critical2020-02-202020-02-20
INNControl 3 Improper Privilege Management Vulnerability ICSA-20-049-01INNCOM INNControl 3 Version 3.21 and priorCVE-2020-6968Medium2020-02-192020-02-19
Experion PKS Heap-Based Buffer Overflow, Stack-Based Buffer Overflow, Arbitrary Memory Write, Directory Traversal, and File Inclusion Vulnerabilities ICSA-14-352-01Experion PKS R40x prior to R400.6, Experion PKS R41x prior to R410.6, Experion PKS R43x prior to R430.2CVE-2014-9187
CVE-2014-9189
CVE-2014-5435
CVE-2014-5436
CVE-2014-9186
Critical2019-04-102019-04-10
FALCON XSS and File Access to External Parties Vulnerabilities ICSA-14-175-01FALCON Linux 2.04.01 and prior, FALCON XLWebExe 2.02.11 and priorCVE-2014-2717
CVE-2014-3110
Medium2014-06-242018-09-06
EBI, SymmetrE, and ComfortPoint Improper Input Validation Vulnerability ICSA-13-053-02AEBI R310, R400.2, R410.1, R410.2. SymmetrE R310, R410.1, R410.2, CPO-M R100CVE-2013-0108Medium2013-02-222018-09-06
HMIWeb Browser Buffer Overflow Vulnerability ICSA-12-150-01Multiple Experion, Enterprise Building Manager, Honeywell Environmental Combustion and Controls Products, and Symmetre R400, R410.1CVE-2012-0254Medium2012-03-092018-09-06
HART DMT Improper Input Validation Vulnerability ICSA-15-029-01Multiple HART DMT LibrariesCVE-2014-9191Low2018-08-292018-08-29
Midas Path Traversal and Cleartext Transmission Vulnerabilities ICSA-15-309-02Midas Version 1.13b1 and prior, Midas Black 2.13ba and priorCVE-2015-7907
CVE-2015-7908
Critical2018-08-272018-08-27
Experion PKS Directory Traversal Vulnerability ICSA-15-272-01Experion PKS 310.x and priorCVE-2007-6483Critical2018-08-272018-08-27
XL Web Controller Path Traversal Vulnerability ICSA-15-076-02Multiple XLWeb Controller VersionsCVE-2015-0984Critical2018-08-272018-08-27
Uniformance Stack-based Buffer Overflow Vulnerability ICSA-16-070-02AUniformance PHD versions prior to R310.1.1.2, R320.1.0.2, and R321.1.1CVE-2016-2280High2016-04-122018-08-23
XL Web II Controller Password Exposure Vulnerabilities ICSA-17-033-01XL1000C500 XLWebExe-2-01-00 and prior, XLWeb 500 XLWebExe-1-02-08 and priorCVE-2017-5139
CVE-2017-5140
CVE-2017-5141
CVE-2017-5142
CVE-2017-5143
Critical2017-02-022017-02-02
Experion PKS Improper Inout Validation Vulnerability ICSA-16-301-01Multiple Experion PKS ProductsCVE-2016-8344Low2016-10-272016-10-27
ScanServer ActiveX Control Vulnerability ICSA-11-103-01AScanServer ActiveX Control Version 780.0.20.5 that is packaged with all SymmetrE VersionsNANA2011-04-132014-03-13
TEMA Remote Installer ActiveX Vulnerability ICSA-11-285-01EBI R310.1 - TEMA 4.8, 4.9, 4.10. EBI R400.2 SP1 - TEMA 5.2. EBI R410.1 - TEMA 5.3.0. EBI R410.2 - TEMA 5.3.1NANA2013-04-302013-04-30
MAXPRO NVR Computer: Intel® Chipset Uncontrolled Search Path Element Vulnerability
2024-06-25 01
MAXPRO SE NVR Rev D, XE NVR Rev D with Intel® Chipset Device Software before version 10.1.19444.8378CVE-2023-28388Medium2024-06-252024-06-25
HID Mercury Intelligent Controller Command Injection, Unauthenticated Firmware, Buffer Overflow, Path Traversal Vulnerabilities
2022-06-02 01
LenelS2 Products integrated with HID Mercury Intelligent Controllers: LNL-X2210, LNL-2220, LNL-X3300, LNL-X4420, LNL-4420, S2-LP-1501, S2-LP-1502, S2-LP-2500, S2-LP-4502CVE-2022-31479
CVE-2022-31480
CVE-2022-31481
CVE-2022-31482
CVE-2022-31483
CVE-2022-31484
CVE-2022-31485
CVE-2022-31486
Critical2022-06-022022-06-02
LenelS2 OnGuard Client Authentication Bypass Vulnerability
2022-11-30 01
OnGuard Versions 7.5, 7.6, 8.0, 8.1CVE-2022-37026Critical2022-11-302022-11-30
LenelS2 NetBox MOD_PROXY SSRF Vulnerability
2023-03-16 01
NetBox, NetBox Global, VRx, NetVR, Converged NetBox/VR, NetBox VRx, Quatro ProductsCVE-2021-40438Critical2023-03-162023-03-16
MASmobile Classic Authorization Bypass Vulnerability
2023-06-15 01
MASmobile ClassicCVE-2023-36483Medium2023-06-152023-06-15
LenelS2 NetBox Hardcoded Credentials and Unauthenticated/authenticated RCE Vulnerabilities
2024-05-24 01
NetBox ProductsCVE-2024-2420
CVE-2024-2421
CVE-2024-2422
Critical2024-05-242024-05-24
LenelS2 NetBox Supply Chain Attack
2024-08-05 01
NetBox, VRx, NetVR ProductsNANA2024-08-052024-08-05
Honeywell Experion PKS, LX, and PlantCruise Heap and Stack-based Overflow, Unexpected Code Status, Uncontrolled Resource, Improper Encoding, Incorrect Comparison, and other data vulnerabilities
ICSA-23-194-06
Experion PKS, LX, and PlantCruise versions prior to R520.29 CVEsCritical2023-07-132023-07-13
Honeywell OneWireless Command Injection, Insufficient Random Values, and Missing Auth Vulnerabilities
ICSA-23-075-06
OneWireless Versions up to R322.1CVE-2022-43485
CVE-2022-46361
CVE-2022-4240
Critical2023-03-162023-03-16
Honeywell IP-AK2 Missing Auth. Vulnerability
ICSA-19-297-02
IP-AK2 Access Control Panel Version 1.04.07 and priorCVE-2019-13525Medium2019-10-242019-10-24
OS Command Injection in Honeywell MB-Secure
2025-05-01-01
MB-Secure versions from V11.04 and prior to V12.53
MB-Secure PRO versions from V01.06 and prior to V03.09
CVE-2025-2605Critical2025-05-012025-05-01
Technical Bulletin: Update Niagara to Address Vulnerabilities
2025-05-22-01
Niagara Framework and Niagara Enterprise SecurityCVE-2025-3936
CVE-2025-3937
CVE-2025-3938
CVE-2025-3939
CVE-2025-3940
CVE-2025-3941
CVE-2025-3942
CVE-2025-3943
CVE-2025-3944
CVE-2025-3945
Varies2025-05-222025-05-22
Multiple Vulnerabilities in Saia Burgess PG5 Controls Suite
2025-09-10-01
Saia Burgess PG5 Controls Suite – All versions prior to 2.3.196.255CVE-2023-51599
CVE-2023-51603
CVE-2023-51602
CVE-2023-51600
CVE-2023-51605
CVE-2023-51604
CVE-2023-51601
Varies2025-09-102025-09-10
Cleartext Storage of Sensitive Information Found in Honeywell MAXPRO/ProWatch NVR Product
2025-11-25-01
MAXPRO/ProWatch NVR & VMS – version R750 and R790NANA2025-11-252025-11-25
Vulnerabilities in HIB2PI CCTV Cameras
2026-03-03-01
HIB2PICVE-2026-1670Critical2026-02-232026-03-03
Bluetooth Remote Code Execution Honeywell Barcode Scanners
2026-04-14 01
Honeywell Barcode Scanners: Gen6CCB-BK000736BBA, GEN6BASE_CU000097BAA, Granit 1952 Scanner ALCCB01-Ingenic-GK000091BBA, Xenon XP 1952g HE000064BAA, and Xenon_Power_Ultra_GX000180BAA_GY000118BAACVE-2026-4272NA2026-04-142026-04-14
Program Module Vulnerability
2026-07-02 01
Niagara Framework® 4.14u5
Niagara Enterprise Security 4.14u5
Niagara Framework 4.15u4
Niagara Enterprise Security 4.15
CVE-2026-11804Medium2026-07-022026-07-02