Informar errores de seguridad

This page is a translated version of the page Reporting security bugs and the translation is 98% complete.

Este es el proceso, para informar problemas de seguridad en el software y servicios mantenidos u operados por la Fundación Wikimedia. Esto incluye MediaWiki y proyectos Wikimedia como Wikipedia.

Apoyamos divulgación responsable y esperamos que cualquiera que encuentre un posible problema de seguridad en nuestro ecosistema actúe con discreción y tolerancia.

Qué se considera un problema de seguridad

Este es un esquema general y no una lista exhaustiva del alcance de este proceso.

  • Problemas que afectan a la disponibilidad de uno o más servicios que forman parte del ecosistema Wikimedia, pero en particular cuando esto es el resultado de un conjunto de acciones hostiles o campañas.
  • Cuando la integridad de los datos alojados por la Fundación Wikimedia o las entidades afiliadas corre el riesgo de ser corrompida, manipulada o modificada de otra manera no autorizada.
  • Cuando la confidencialidad de los datos propiedad de la Fundación Wikimedia o de sus entidades afiliadas se vea comprometida, de tal manera que la información destinada a ser restringida o privada sea filtrada, revelada, robada o exfiltrada de manera no autorizada.

Informar de un problema de seguridad

Para informar un problema, envíe un correo electrónico a security@wikimedia.org o utilice el formulario Informar problema de seguridad en Phabricator.

Dichos informes no serán visibles públicamente en el momento de la notificación. Consulte a continuación el proceso posterior una vez resueltos los problemas.

Qué incluir en un informe de problemas de seguridad

  • Instrucciones paso a paso para reproducir el problema
  • Si es posible, el código prueba de concepto que demuestra el problema es una buena práctica
  • Si la vulnerabilidad puede reproducirse en un proyecto de Wikimedia (como Wikipedia o Wiktionary), indique cuál, ya que las configuraciones de los sitios varían
  • Si procede, indique si está conectado o desconectado cuando se produce el problema
  • En el caso de XSS o de vulnerabilidades que requieran un navegador o plugin específico, indique qué navegador y qué versión está utilizando. La versión específica de cualquier software utilizado será útil.
  • OWASP categoría de vulnerabilidad (utilizando OWASP Top 10 for 2017), o CWE id (utilizando CWE By Research Concepts)
  • CVE si se asigna (utilizando la NIST CVE database)
  • Cualquier otra información necesaria para investigar y reproducir el problema

Si informas de la vulnerabilidad por correo electrónico a security@wikimedia.org, haznos saber si tienes una cuenta de Wikimedia Phabricator, ya que te añadiremos al error que creamos, para que puedas seguir el estado.

Es posible crear cuentas de Phabricator mediante una cuenta wiki de identificación unificada (SUL) existente.

Qué sucede cuando se informan problemas de seguridad

Nosotros:

  • Determinaremos si lo consideramos un problema de seguridad
  • Intentaremos reproducir el problema y asignaremos una prioridad al defecto en función de su impacto.
  • Se añadirá un parche en Phabricator y otra persona lo revisará.
    • El parche debe contener pruebas de regresión, siempre que sea posible.
  • La corrección será implementada en el clúster Wikimedia, y el acceso al mismo será otorgado a unos pocos socios y distribuidores de confianza.[citation needed]
  • Si es aplicable, la corrección será incluida en la siguiente versión estable de Mediawiki Si el impacto de la vulnerabilidad es especialmente malo, o si tenemos indicación de que está siendo activamente explotada, liberaremos una versión especial de seguridad de Mediawiki, para asegurar que terceras partes están protegidas.
  • A menos que Ud. expllícitamente indique que cierta información no debe ser publicada, el ticket de Phabricator se hará público cuando la correccíon sea liberada, y le será otorgado crédito en el anuncio de liberación. Si informas del problema por correo electrónico a security@wikimedia.org, el correo electrónico puede hacerse público. Ésto puede incluir su dirección de correo electrónico a menos que Ud. solicite lo contrario. La etiqueta Phabricator PermanentlyPrivate garantizará la confidencialidad de los informes a perpetuidad.
  • Determine if a CVE record needs to be published if it was not included in the original report

Abonando reporteros

  • Reconocimiento será otorgado quien haga el reporte en el mensaje de commit que solucione el inconveniente
  • Se dará crédito, a la persona que reporte, en el correo electrónico de anuncio oficial que va a las listas de correo MediaWiki-announce
  • Se dará crédito al Equipo de Seguridad de Wikimedia/Gracias por las vulnerabilidades en el núcleo de MediaWiki o en una biblioteca, skin o extensión incluida.
  • Actualmente, no hay presupuesto para los reportes de seguridad. Esto significa que no se pagan recompensas desde la Fundación Wikimedia por el descubrimiento de vulnerabilidades en esos proyectos, ya sea en efectivo o en mercancia.

Seguimiento de la corrección de informes

Siempre que sea posible, durante el proceso correctivo, los informes de seguridad deben tener comentarios que incluyan

  • Instrucciones paso a paso para reproducir problemas adicionales
  • Enlaces a las consignas que introdujeron el defecto
  • Enlaces a los conjuntos de cambios de Gerrit que corrigen el defecto

El acceso de las personas que realizan un reporte a sus propios informes es estándar, ya que para obtener acceso a los temas protegidos por la seguridad generalmente hay un proceso separado.

Contribuyendo patches

Si quieres proporcionar un parche para un fallo de seguridad, por favor, añádelo como adjunto a la tarea Phabricator. Puedes arrastrar y soltar el parche en el área de comentarios, o incluir un diff del parche como comentario.

Por favor no entrega patches a Gerrit. Todos cambios de Gerrit (incluyendo borradores) son públicamente accesible.

Contenido sobre seguridad relacionado

Proyecto Uso por el equipo de seguridad de Wikimedia
mediawiki.org Contenido general de Politicas, SOPs, etc. página del Equipo de Seguridad Oficial .
wikitech.wikimedia.org Material procedimental o instruccional que no es de formación.
meta.wikimedia.org Normativas y otro contenido para traducción.
office.wikimedia.org Contenido delicado o privado. Se debe contar con un acuerdo de confidencialidad y el acceso apropiado.
foundation.wikimedia.org Ubicación canónica de las normativas.