Сообщение об ошибках в системе безопасности

Это общий обзор, а не исчерпывающий перечень сферы действия данного процесса.

• Вопросы, которые влияют на доступность одного из нескольких сервисов которые являются частью экосистемы Викимедиа, но особенно когда это является результатом враждебного набора действий или кампании.
• Когда целостность данных, размещенных Фондом Викимедиа или связанными с ним организациями подвергается риску быть поврежденной, измененной или иным образом измененной несанкционированным образом.
• Когда конфиденциальность данных, принадлежащих Фонду Викимедиа или его аффилированным организациям, подвергается угрозе, как информация, предназначенная для ограничения или частная информация, утекает, раскрывается, крадется или выходит в несанкционированный вид.

Для того, чтобы сообщить о проблеме, напишите письмо по адресу электронной почты security@wikimedia.org или используйте форму жалобы о проблеме безопасности на Фабрикаторе.

Подобные отчёты не будут публично видны в момент его составления. Посмотрите ниже для дальнейших действий, когда проблемы будут решены.

• Пошаговые инструкции по воспроизведению проблемы
• Если возможно, код проверки концепции, демонстрирующий проблему является лучшей практикой
• Если уязвимость может быть повторена на проекте Викимедиа (такой как Википедия или Викисловарь) пожалуйста укажите какой так как конфигурации сайта могут отличаться
• Если это применимо, укажите, вошли ли вы в учётную запись или нет когда возникает проблема
• Для XSS или уязвимостей, которым нужны специфический браузер или плагин, пожалуйста укажите какой браузер вы используете. Информация о специфической версии какого либо используемого программного обеспечения также будет полезной.
• OWASP-категория уязвимости (используя OWASP Топ 10 для 2017), или CWE id (используя CWE от Research Concepts)
• CVE, если назначены (используя базу NIST CVE)
• Любая другая информация, необходимая для исследования и воспроизведения проблемы

Если вы доложите проблему по электронной почте на security@wikimedia.org, дайте нам знать есть ли у вас аккаунт Wikimedia Phabricator так как мы добавим вас к ошибке которую мы создадим чтобы бы могли отслеживать статус.

Мы:

• Определим, считается ли это проблемой безопасности.
• Попытаемся воспроизвести проблему и присвоить ей приоритет в зависимости от её воздействия.
• A patch will be added in Phabricator, and another person will review it.
  • The patch should contain regression tests, whenever possible.
• The patch will be deployed on the Wikimedia cluster, and access to the patch will be given to a few trusted partners and distributors.^{[citation needed]}
• If applicable, the patch will be included in the next release of MediaWiki. If the impact of the vulnerability is especially bad, or we have indication that it is being actively exploited, we will make a special security release of MediaWiki to ensure third parties are protected.
• Unless you explicitly indicate that certain information must not be published, we will make the Phabricator ticket public when the fix is released, and credit you in the release announcement. If you report the issue via email to security@wikimedia.org the email itself may be publicly released. This may include your email address and signature unless you request otherwise. The Phabricator tag PermanentlyPrivate will ensure reports are kept confidential in perpetuity.
• Determine if a CVE record needs to be published if it was not included in the original report

• Credit will be given to the reporter in the commit message fixing the issue
• Credit will be given to the reporter in the official announcement email going to the MediaWiki-announce mailing lists
• Credit will be given on Wikimedia Security Team/Thanks for vulnerabilities in MediaWiki core or a bundled library, skin, or extension.
• Currently, there is no budget for security reports. This means no bounties are paid by Wikimedia Foundation for discovering security bugs on these projects, either in money or in merchandise.

• Step-by-step instructions to reproduce further issues
• Links to the commits that introduced the bug
• Links to the Gerrit changesets that fixes the bug

• See Creating a Security Patch section on wikitech for steps to create these patches, and Security patches section for how these patches are deployed.