| Версия | Статус поддержки |
|---|---|
| v1.35.x (актуальная) | Активная поддержка |
| v1.0.x — v1.34.x | Критические исправления |
| < v1.0 | Поддержка не предоставляется |
Не следует публиковать сведения об уязвимостях в открытых Issues на GitHub.
Информация об уязвимостях безопасности направляется по электронной почте:
Тема письма: [TUCK SECURITY] <краткое описание>
В сообщении необходимо указать:
- описание уязвимости и её технический характер;
- шаги воспроизведения (при наличии — подтверждение концепции);
- затронутые версии системы;
- оценку потенциального воздействия;
- контактные данные для уведомления (по желанию).
Подтверждение получения направляется в течение 48 часов. Подробный ответ с указанием дальнейших действий — в течение 7 рабочих дней.
Настоящая политика предусматривает 90-дневный срок координированного раскрытия:
- Исследователь направляет информацию об уязвимости в закрытом режиме.
- Команда подтверждает получение, классифицирует уязвимость и разрабатывает исправление (целевой срок для критических уязвимостей — 30 дней).
- Согласование даты выпуска исправления с исследователем.
- Публикация исправления и присвоение идентификатора CVE (при наличии оснований).
- Публичное раскрытие допускается после выхода исправления или по истечении 90 дней — в зависимости от того, что наступит раньше.
При наличии признаков активной эксплуатации уязвимости необходимо указать это в сообщении для ускорения обработки.
- Обход аутентификации (подделка токена, обход политик ACL)
- Криптографические уязвимости (барьерное шифрование, реализация схемы Шамира)
- Раскрытие ключевого материала в памяти (корневой ключ, ключ шифрования данных)
- Нарушение целостности журнала аудита
- Инъекционные атаки через входные данные API
- Некорректная конфигурация TLS
- Атаки, требующие физического доступа к узлу (относятся к ответственности операционной системы)
- Шифрование etcd в Kubernetes (ответственность оператора кластера)
- Уязвимости в среде исполнения Go или стандартной библиотеке (направляются в команду Go)
- Социальная инженерия
Полный анализ угроз изложен в docs/THREAT_MODEL.md.
- Имена путей ключей хранятся в BoltDB без шифрования. Анализ дампа базы данных позволяет получить структуру пространства имён, но не значения секретов.
- Режим разработки (
--seal-type=dev) хранит корневой ключ в открытом виде. Применение данного режима в производственных средах категорически не допускается. - Сборщик мусора Go может скопировать ключевой материал до выполнения операции
clear(). Функциональностьmlockallнаходится в разработке.
Выражается признательность исследователям, сообщившим об уязвимостях в рамках ответственного раскрытия: (нет данных)