Hlásenie bezpečnostných chýb

Toto je proces hlásenia bezpečnostných problémov v softvéri a službách spravovaných alebo prevádzkovaných Wikimedia Foundation. Zahŕňa MediaWiki a projekty Wikimédie, ako je Wikipédia.

Podporujeme zodpovedné zverejňovanie a dúfame, že každý, kto nájde potenciálny bezpečnostný problém v našom ekosystéme, koná uvážlivo a zhovievavo.

Toto je všeobecný náčrt, nie vyčerpávajúci zoznam rozsahu tohto procesu.

• Problémy, ktoré ovplyvňujú dostupnosť jednej alebo viacerých služieb, ktoré sú súčasťou systému Wikimédie, ale najmä ak sú výsledkom nepriateľského súboru akcií alebo kampane.
• Ak integrita dát hostingovaných nadáciou Wikimedia Foundation alebo pridruženými subjektmi je ohrozená poškodením, neoprávneným zásahom alebo inou úpravou neoprávneným spôsobom.
• Ak je ohrozená dôvernosť dát vlastnených nadáciou Wikimedia Foundation alebo jej pridruženými subjektmi, takže informácie, ktoré majú byť obmedzené alebo súkromné, sú prezradené, odhalené, odcudzené alebo neoprávneným spôsobom exfiltrované.

Ak chcete nahlásiť problém, pošlite email na security@wikimedia.org alebo na Phabricatore použite formulár Hlásenie bezpečnostného problému (Report Security Issue).

Také správy v čase nahlásenia nebudú verejne viditeľné. Ďalší postup riešenia problémov nájdete nižšie.

• Podrobné pokyny pre reprodukciu problému.
• Ak je to možné, osvedčeným postupom je proof-of-concept kód demonštrujúci problém.
• Ak je možné zraniteľnosť reprodukovať na projekte Wikimédie (ako je Wikipédia či Wikislovník), uveďte, ktoré konfigurácie webu sa líšia.
• V prípade potreby uveďte, či ste prihlásení alebo odhlásení, keď k problému dôjde.
• U XSS alebo zranitelností, ktoré vyžadujú špecifický prehliadač alebo plugin, uveďte ktorý prehliadač a verziu používate. Užitočná bude informácia aj o konkrétnej verzii akéhokoľvek iného použitého softvéru.
• OWASP kategória zranitelnosti (s použitím OWASP Top 10 za rok 2017) alebo CWE id (s použitím CWE By Research Concepts)
• CVE, ak je priradený (pomocou databázy NIST CVE)
• Akékoľvek ďalšie informácie potrebné na prešetrenie a reprodukciu problému.

Pokiaľ nahlásite zraniteľnosť emailom na adresu security@wikimedia.org, dajte nám vedieť, ak máte účet Wikimedia Phabricator. Potom vás priradíme k zápisu chyby, ktorý vytvoríme, aby ste mohli sledovať jeho status.

Účty Phabricatoru je možné vytvoriť pomocou existujúceho účtu SUL Wiki.

Budeme:

• Zisťovať, či sa to považuje za bezpečnostný problém.
• Pokúsime sa problém reprodukovať a na základe dopadu chyby priradiť jej prioritu.
• Do Phabricatoru pridáme opravu, ktorú prekontroluje ďalšia osoba.
  • Kdekoľvek je to možné, záplata má obsahovať regresné testy.
• Oprava bude nasadená na klastri Wikimédie a prístup k oprave bude udelený niekoľkým dôveryhodným partnerom a distribútorom.^{[citation needed]}
• Ak je to možné, bude záplata zahrnutá v ďalšom vydaní MediaWiki. Ak je vplyv zraniteľnosti obzvlášť zlý alebo máme náznaky, že je aktívne zneužívaná, aby sme zaistili ochranu tretích strán, vydáme špeciálnu bezpečnostnú verziu MediaWiki.
• Ak výslovne neuvediete, že určité informácie nesmú byť zverejnené, akonáhle bude oprava vydaná, uverejníme tiket z Phabricatoru a v oznámení o jej vydaní vám pripíšeme vašu zásluhu. Pokiaľ problém nahlásite emailom na adresu security@wikimedia.org, môže byť zverejnený aj samotný email. Pokiaľ nepožiadate o niečo iné, môže obsahovať vašu emailovú adresu a podpis. Značka Phabricatora, PermanentlyPrivate, zaistí, že správy zostanú natrvalo dôverné.
• Pokiaľ nebolo v pôvodnej správe, určite, či je potreba publikovať CVE record,

• Poďakovanie reportujúcemu bude súčasťou správy k opravenému problému.
• Poďakovanie bude reportujúcemu priznané v oficiálnom emaile s oznámením, ktorý pôjde do MediaWiki-announce mailing listov.
• Poďakovanie bude dané Wikimedia Security Team/Thanks za úpravu zraniteľnosti jadra MediaWiki alebo pribalenej knižnice, vzhľadu alebo rozšírenia.
• V súčasnej dobe neexistuje žiadny rozpočet na bezpečnostné správy. To znamená, že sa nadáciou Wikimedia Foundation za odhalenie bezpečnostných chýb na týchto projektoch, neplatia žiadne odmeny či už v peniazoch alebo v tovare.

Pokiaľ je to počas procesu nápravy možné, mali by bezpečnostné chyby obsahovať komentáre, ktoré zahŕňajú:

• Podrobné pokyny pre reprodukciu problému.
• Odkazy na nadväznosti, ktorými sa chyba zaviedla.
• Odkazy na sady zmien Gerrit, ktoré opravujú chybu.

Prístup reportujúcich k ich vlastným vytvoreným reportom je štandardný, ale pre získanie prístupu k bezpečnostným chráneným problémom všeobecne existuje samostatný proces.

Ak by ste chceli poskytnúť opravu bezpečnostnej chyby, pridajte ju prosím ako prílohu k úlohe Phabricatora. Záplatu môžete buď pretiahnuť do oblasti komentára alebo zahrnúť rozdiel záplaty ako komentár.

Prosím nezasielajte záplaty Gerrit. Všetky zmeny Gerrit (vrátane "návrhov") sú verejne prístupné.

• Viď časť Vytvorenie bezpečnostnej záplaty na wikitech pre kroky na vytvorenie týchto záplat a časť Bezpečnostné záplaty, ako sa tieto záplaty nasadzujú.