联系我们

 

如您有商务咨询、兼容适配、渠道合作、认证培训、媒体合作、售后支持等相关咨询需求,可以通过扫描下方二维码填写反馈, YashanDB将竭诚为您提供帮助。

漏洞处理流程

 

 

崖山产品安全事件响应团队 (PSIRT) 支持漏洞管理流程、工具、组织的改进,以开发满足最终客户安全要求的产品。崖山产品中的安全漏洞通过明确的流程进行主动管理,具体响应时间根据问题的范围而不同,该流程包含以下4个关键步骤:

  • 标签0

    发现与报告

     

    当崖山 PSIRT 发现或者接收到崖山产品中存在潜在安全漏洞时,该流程启动。报告者会收到确认信息,并在整个处理过程中收到更新。

  • 标签1

    评估与接收

     

    崖山 PSIRT 确认潜在的漏洞,评估风险,确定影响并分配处理优先级。如果漏 洞得到确认,优先级将决定在流程的其余步骤中如何处理该问题。

  • 标签2

    修复与验证

     

    崖山 PSIRT 与产品研发团队合作,制定缓解所报告安全漏洞的解决方案。解决方案将根据漏洞的不同而采取不同的形式。如果漏洞正在被主动利用,崖山可能会在制定完整解决方案的同时,提供临时解决方案来控制问题。

  • 标签3

    处置与发布

     

    崖山PSIRT 根据需要发布安全公告、通知和其它信息文章,与客户沟通影响我们产品的安全问题。公告和通知均发布于崖山产品安全中心。

崖山产品安全公告

 

 

崖山产品漏洞详情、修复方案及影响评估

查看更多安全公告 →
查看更多安全声明 →

崖山产品安全声明

 

 

提供有关崖山产品安全主题的一般信息。

编号

标题

发布时间

更新时间

版本

内容

漏洞处理声明

 

 

崖山产品安全事件响应团队 (PSIRT) ,负责崖山产品漏洞的接收、验证、报告、修复和披露。崖山PSIRT 与安全研究人员、行业组织、客户和供应商通力合作,致力于最大程度地确保完整处理影响崖山产品的安全漏洞,并以负责任的方式发布修复方案和补丁,并就修复方案、影响、严重程度和缓解措施提供清晰的指导。

关于GO语言漏洞CVE-2024-3566漏洞对YashanDB的影响

2025-08-22

2025-08-22

1.0

最近深圳崖山科技有限公司通过对所依赖的第三方组件进行安全扫描,发现了GO语言中存在CVE-2024-3566命令注入漏洞。经排查,崖山数据库及相关工具产品均不涉及该漏洞!

公告编号

漏洞编号

实际风险等级

漏洞概述

影响产品

影响版本

修复版本

公告版本

发布时间

更新时间

CVE-2024-45337(CNNVD-202412-1406)

YashanDB

23.4.3.100之前的版本

0.31.0 之前的golang.org/x/crypto 的ssh服务器容易受到漏洞的影响,应用程序调用ServerConfig.PublicKeyCallback 函数并不能保证所提供的密钥确实用于身份验证。该漏洞一旦被成功利用,可能会受到授权绕过的影响。

低危

1.0

23.4.3.100

2025-09-29

2025-09-29

CVE-2025-22869(CNNVD-202502-3337)

YashanDB

23.4.3.100之前的版本

0.35.0 版本的golang.org/x/crypto存在安全漏洞,实施文件传输协议的 SSH 服务器容易受到来自客户端的拒绝服务攻击,这些客户端的密钥交换速度很慢,或者根本无法完成,导致待处理的内容被读入内存,但永远不会传输。

低危

1.0

23.4.3.100

2025-09-29

2025-09-29