Hlášení bezpečnostních chyb

This page is a translated version of the page Reporting security bugs and the translation is 100% complete.

Toto je proces hlášení bezpečnostních problémů v softwaru a službách spravovaných nebo provozovaných Wikimedia Foundation. To zahrnuje MediaWiki a projekty Wikimedia, jako je Wikipedie.

Podporujeme odpovědné zveřejnění a doufáme, že každý, kdo nalezne potenciální bezpečnostní problém v našem ekosystému, jedná uvážlivě a shovívavě.

Co je považováno za bezpečnostní problém

Toto je obecný nástin, nikoli vyčerpávající výčet rozsahu tohoto procesu.

  • Problémy, které ovlivňují dostupnost jedné nebo více služeb, které jsou součástí ekosystému Wikimedia, ale zejména pokud jsou výsledkem nepřátelského souboru akcí nebo kampaně.
  • Pokud integrita dat hostovaných nadací Wikimedia Foundation nebo přidruženými subjekty je ohrožena poškozením, neoprávněným zásahem nebo jinou úpravou neoprávněným způsobem.
  • Pokud je ohrožena důvěrnost dat vlastněných nadací Wikimedia Foundation nebo jejími přidruženými subjekty, takže informace, které mají být omezeny nebo soukromé, jsou prozrazeny, odhaleny, odcizeny nebo exfiltrovány neoprávněným způsobem.

Hlášení bezpečnostního problému

Chcete-li nahlásit problém, pošlete email na security@wikimedia.org nebo použijte formulář Hlášení bezpečnostního problému (Report Security Issue) na Phabricatoru.

Takové zprávy nebudou v době nahlášení veřejně viditelné. Další postup řešení problémů naleznete níže.

Co zahrnout do zprávy o bezpečnostním problému

  • Podrobné pokyny pro reprodukci problému.
  • Pokud je to možné, osvědčeným postupem je proof-of-concept kód demonstrující problém.
  • Pokud lze zranitelnost reprodukovat na projektu Wikimedia (jako je Wikipedie nebo Wikislovník), uveďte, které konfigurace webu se liší.
  • V případě potřeby uveďte, zda jste přihlášeni nebo odhlášeni, když k problému dojde.
  • U XSS nebo zranitelností, které vyžadují specifický prohlížeč nebo plugin, uveďte, který prohlížeč a verzi používáte. Užitečná bude konkrétní verze jakéhokoli použitého softwaru.
  • OWASP kategorie zranitelnosti (s použitím OWASP Top 10 za rok 2017) nebo CWE id (s použitím CWE By Research Concepts)
  • CVE, pokud je přiřazen (pomocí databáze NIST CVE)
  • Jakékoli další informace potřebné k prošetření a reprodukci problému.

Pokud nahlásíte zranitelnost emailem na adresu security@wikimedia.org, dejte nám vědět, pokud máte účet Wikimedia Phabricator, protože vás přiřadíme k chybě, kterou vytvoříme, abyste mohli sledovat stav.

Účty Phabricatoru lze vytvořit pomocí existujícího účtu SUL Wiki.

Co se stane, když jsou hlášeny problémy se zabezpečením

Budeme:

  • Zjišťovat, zda to považujeme za bezpečnostní problém.
  • Pokusíme se problém reprodukovat a přiřadit chybě prioritu na základě jejího dopadu.
  • Do Phabricatoru přidáme opravu a to zkontroluje další osoba.
    • Záplata by měla obsahovat regresní testy, kdykoli je to možné.
  • Oprava bude nasazena na clusteru Wikimedia a přístup k opravě bude udělen několika důvěryhodným partnerům a distributorům.[citation needed]
  • Pokud je to možné, bude záplata zahrnuta v příštím vydání MediaWiki. Pokud je dopad zranitelnosti obzvláště špatný nebo máme náznaky, že je aktivně zneužívána, vydáme speciální bezpečnostní verzi MediaWiki, abychom zajistili ochranu třetích stran.
  • Pokud výslovně neuvedete, že určité informace nesmí být zveřejněny, uveřejníme lístek Phabricator, jakmile bude oprava vydána, a připíšeme vám vaši zásluhu v oznámení o vydání. Pokud problém nahlásíte emailem na adresu security@wikimedia.org, může být samotný email zveřejněn. Může obsahovat vaši emailovou adresu a podpis, pokud nepožádáte o něco jiného. Značka Phabricatoru PermanentlyPrivate zajistí, že zprávy budou trvale důvěrsné.
  • Určete, zda je třeba publikovat CVE record, pokud nebylo zahrnuto v původní zprávě

Poděkování reportérům

  • Poděkování bude přiznáno reportérovi ve zprávě k opravenému problému.
  • Poděkování bude reportérovi přiznáno v oficiálním emailu s oznámením, který půjde do MediaWiki-announce mailing listů.
  • Poděkování bude uděleno Wikimedia Security Team/Thanks za zranitelnosti jádra MediaWiki nebo přibalené knihovny, vzhledu nebo rozšíření.
  • V současné době neexistuje žádný rozpočet na bezpečnostní zprávy. To znamená, že se nadací Wikimedia Foundation neplatí žádné odměny za odhalení bezpečnostních chyb na těchto projektech, ať už v penězích nebo ve zboží.

Oprava zprávy o sledování

Pokud je to během procesu nápravy možné, měly by bezpečnostní chyby obsahovat komentáře, které zahrnují:

  • Podrobné pokyny pro reprodukci problému.
  • Odkazy na návaznosti, které zavedly chybu.
  • Odkazy na sady změn Gerrit, které opravují chybu.

Přístup reportérů k jejich vlastním vytvořeným reportům je standardní, ale pro získání přístupu k bezpečnostním chráněným problémům obecně existuje samostatný proces.

Přispívané záplaty

Pokud byste chtěli poskytnout opravu bezpečnostní chyby, přidejte ji prosím jako přílohu k úloze Phabricator. Záplatu můžete buď přetáhnout do oblasti komentáře nebo zahrnout rozdíl záplaty jako komentář.

Prosím nezasílejte záplaty Gerrit. Všechny změny Gerrit (včetně "návrhů") jsou veřejně přístupné.

Související obsah zabezpečení

Projekt Použití bezpečnostním týmem Wikimedia
mediawiki.org Obecný obsah pro zásady, SOP atd. Stránka oficiálního týmu zabezpečení .
wikitech.wikimedia.org Procedurální nebo instruktážní materiál, který není školením.
meta.wikimedia.org Zásady a další obsah pro překlad.
office.wikimedia.org Citlivý nebo soukromý obsah. Musí mít smlouvu o mlčenlivosti a odpovídající přístup.
foundation.wikimedia.org Základní umístění zásad.