Segnalazione problemi di sicurezza

This page is a translated version of the page Reporting security bugs and the translation is 100% complete.

Questo è il processo per segnalare problemi di sicurezza nel software e nei servizi manutenuti o messi in opera dalla Fondazione Wikimedia. Questo include MediaWiki e progetti Wikimedia come Wikipedia.

Supportiamo la responsible disclosure e speriamo che chiunque trovi un potenziale problema di sicurezza nel nostro ecosistema agisca con discrezione e tolleranza.

Cosa è considerato un problema di sicurezza

Questo è uno schema generale e non una lista esaustiva dello scopo di questo processo.

  • Problemi che influiscono sulla disponibilità di uno o più servizi che fanno parte dell'ecosistema Wikimedia, ma in particolare quando è il risultato di specifiche azioni o campagne ostili.
  • Quando l'integrità dei dati ospitati dalla Wikimedia Foundation o da entità affiliate rischia di essere danneggiata, manomessa o altrimenti modificata in modo non autorizzato.
  • Quando la riservatezza dei dati di proprietà della Wikimedia Foundation o delle sue entità affiliate viene compromessa, le informazioni destinate a essere confidenziali o riservate vengono divulgate, rivelate, rubate o trafugate in modo non autorizzato.

Segnalare un problema di sicurezza

Per segnalare un errore, scrivi a security@wikimedia.org oppure utilizza il form Report Security Issue su Phabricator.

Tali report non saranno visibili pubblicamente al momento della segnalazione. Vedi sotto per l'ulteriore processo una volta che gli errori sono stati risolti.

Cosa includere nella segnalazione di un problema di sicurezza

  • Istruzioni passo-passo per riprodurre l'errore.
  • Se possibile, una dimostrazione di fattibilità attraverso codice o documento dimostrativo del problema è una buona pratica.
  • Se la vulnerabilità può essere riprodotta su un progetto Wikimedia (come Wikipedia o Wikizionario), indica quale configurazione del sito varia
  • Se applicabile, indica se eri connesso o disconnesso quando l'errore si è verificato
  • Per XSS o vulnerabilità che richiedono un browser o plug-in specifico, indica quale browser e versione stai utilizzando. È utile indicare la versione specifica di qualsiasi software utilizzato.
  • Categoria di vulnerabilità OWASP (utilizzare OWASP Top 10 per 2017), oppure id CWE (utilizzare CWE By Research Concepts)
  • CVE se assegnato (utilizza the NIST CVE database)
  • Ogni altra informazione necessaria per investigare e riprodurre l'errore

Se segnalate la vulnerabilità via e-mail a security@wikimedia.org, fateci sapere se avete un account Wikimedia Phabricator, perché vi aggiungeremo al bug creato, in modo che possiate seguirne lo stato.

È possibile creare un account su Phabricator utilizzando l'account wiki SUL esistente.

Cosa accade quando viene segnalato un problema di sicurezza

Noi:

  • Determineremo se lo consideriamo un problema di sicurezza
  • Cercheremo di riprodurre il problema e assegneremo una priorità al difetto in funzione del suo impatto.
  • Una patch verrà aggiunta su Phabricator, e una persona diversa la revisionerà.
    • La patch dovrebbe includere un test di regressione, quando possibile.
  • La correzione verrà distribuita sul cluster Wikimedia, e l'accesso alla correzione sarà data ad alcuni partners e distributori affidabili.[citation needed]
  • Se applicabile, la patch sarà inclusa nel successivo rilascio di MediaWiki. Se l'effetto della vulnerabilità è particolarmente grave, oppure abbiamo evidenza che venga sfruttata attivamente, faremo uno speciale rilascio di sicurezza di MediaWiki per assicurare che le terze parti siano protette.
  • A meno che non indichi esplicitamente che certe informazioni non devono essere pubblicare, renderemo pubblico il ticket su Phabricator quando la soluzione è rilasciata, e avrai credito nell'annuncio di rilascio. Se si segnala il problema via email a security@wikimedia.org, l'email stessa potrebbe essere resa pubblica. Questo può includere il tuo indirizzo email e la tua firma a meno che tu richieda diversamente. Il tag Phabricator PermanentlyPrivate assicurerà che le segnalazioni rimarranno confidenziali a tempo indefinito.
  • Stabiliremo se un record CVE debba essere pubblicato nel caso in cui non sia stato incluso nel report originario

Accreditare i redattori

  • Il merito sarà attribuito al segnalatore nel messaggio di commit che risolve il problema.
  • Il merito sarà attribuito al segnalatore nell'e-mail di annuncio ufficiale inviata alle mailing list MediaWiki-announce.
  • Il merito sarà dato su Wikimedia Security Team/Thanks per le vulnerabilità nel nucleo di MediaWiki o in una libreria, skin o estensione in bundle.
  • Attualmente non esiste un budget per i rapporti sulla sicurezza. Ciò significa che non vengono pagate taglie da Wikimedia Foundation per la scoperta di bug di sicurezza su questi progetti, né in denaro né in merce.

Tracciamento dei rapporti di riparazione

Se possibile, durante il processo di correzione, i bug di sicurezza dovrebbero avere commenti che includono:

  • Istruzioni passo a passo per riprodurre problemi aggiuntivi
  • Collegamenti ai commit che hanno scoperto il bug
  • Link ai changeset di Gerrit che risolvono il bug

L'accesso dei redattori ai propri rapporti è standard, ma per ottenere l'accesso a questioni protette dalla sicurezza in genere c'è un processo separato.

Contribuire alle patch

Se desiderate fornire una patch per un bug di sicurezza, aggiungetela come allegato al task Phabricator. È possibile trascinare la patch nell'area dei commenti, oppure includere una diff della patch come commento.

Per favore non inviare patche a Gerrit. Tutti le modifiche di Gerrit (incluse le bozze) sono pubblicamente accessibile.

Contenuti di sicurezza correlati

Progetto Uso da parte del Wikimedia Security Team
mediawiki.org Contenuto generale per Policy, SOP, ecc. Pagina ufficiale del team Sicurezza .
wikitech.wikimedia.org Materiale procedurale o istruttivo che non è una sessione di formazione.
meta.wikimedia.org Policy e altri contenuti da tradurre.
office.wikimedia.org Contenuti sensibili o privati. Devi essere in possesso di un NDA (Non-Disclosure Agreement) e di un accesso appropriato.
foundation.wikimedia.org Posizione canonica delle policy.