Dies ist der Prozess fur das Melden von Sicherheitsproblemen in Software und Diensten, die von der Wikimedia Foundation gewartet oder betreibt wird. Dies enthalt MediaWiki und
Wikimedia-Projekte
wie Wikipedia.
Wir unterstutzen
Responsible Disclosure
und hoffen, das jeder, der ein mogliches Sicherheitsproblem in unseren Okosystem findet, mit Diskretion und Nachsicht handelt.
Was als Sicherheitsproblem angesehen wird
Dies ist ein allgemeiner Uberblick und keine erschopfende Auflistung uber den Geltungsbereich dieses Prozesses.
- Probleme, welche die Verfugbarkeit eines oder mehrerer Dienste betreffen, die Teil des Wikimedia-Okosystems sind, aber insbesondere, wenn dies das Ergebnis feindseliger Handlungen oder Angriffe ist.
- Wenn die Integritat von Daten, die bei der Wikimedia Foundation oder verbundenen Unternehmen gehostet werden, bedroht ist zerstort, manipuliert oder auf andere nicht autorisierte Weise verandert zu werden.
- Wenn die Vertraulichkeit von Daten, die der Wikimedia Foundation oder verbundenen Unternehmen gehoren, kompromittiert wird, so dass Informationen, die als einer Zugriffsbeschrankung unterliegend oder als vertraulich zu betrachten sind, zuganglich werden, offengelegt, gestohlen oder unautorisiert abgezogen werden.
Ein Sicherheitsproblem melden
Um einen Fehler zu melden, schicke eine E-Mail an
security@wikimedia.org
oder verwende das
Report Security Issue
-Formular unter
Phabricator
.
Solche Fehlerberichte sind bei der Aufnahme nicht offentlich sichtbar. Siehe unten fur den weiteren Prozess sobald Probleme behoben werden.
Was ein Sicherheitsproblembericht enthalten sollte
- Schritt-fur-Schritt-Anleitung zum Nachvollziehen des Problems
- Wenn moglich: Beispielquellen ("
proof-of-concept
code") zur Demonstration des Problems sind bewahrte Praxis
- Wenn die Schwachstelle bei einem Wikimedia-Projekt (wie z.B. Wikipedia oder Wiktionary) nachvollzogen werden kann, gib bitte an welches, weil sich die Website-Konfiguration unterscheidet
- Wenn zutreffend, gib an, ob du an- oder abgemeldet bist wenn das Problem auftritt
- Bei
XSS
oder Schwachstellen, deren Ausnutzung einen bestimmten Browser oder ein bestimmtes Plugin erfordern, gib bitte den Browser und die Version an, die du verwendest. Die genaue Version jeder eingesetzten Software ist hilfreich.
- OWASP
-Schwachstellenkategorie (unter Verwendung von
OWASP Top 10 for 2017
), oder
CWE
-ID (unter Verwendung von
CWE By Research Concepts
)
- CVE
soweit zugeteilt (unter Verwendung der
NIST CVE database
)
- Irgendwelche weitere Informationen, die notig sind, um das Problem zu untersuchen oder nachzuvollziehen
Wenn du die Schwachstelle per E-Mail an
security@wikimedia.org
meldest, lass es uns wissen, falls du ein
Wikimedia Phabricator
-Benutzerkonto hast, weil wir dich dann dem erstellten Fehler zuordnen, so dass du den Status verfolgen kannst.
Phabricator-Accounts konnen mithilfe eines bestehenden
SUL-Wiki-Benutzerkontos
erstellt
werden.
Was passiert, wenn Sicherheitsprobleme gemeldet werden
Wir werden:
- Entscheiden, ob wir es als Sicherheitsproblem betrachten
- Versuchen, das Problem nachzuvollziehen, und dem Fehler eine seiner Tragweite gemaße Prioritat zuweisen.
- Eine Fehlerkorrektur wird in Phabricator vorgenommen, und eine weitere Person wird diese uberprufen.
- Die Fehlerkorrektur sollte Regressionstests beinhalten, soweit irgend moglich.
- Die Fehlerkorrektur wird auf dem Wikimedia-Cluster ausgerollt, und einige wenige vertrauenswurdige Partner und Distributoren erhalten Zugriff auf die Fehlerkorrektur.
[
citation needed
]
- Wenn zutreffend, wird die Fehlerkorrektur in den nachsten MediaWiki-Release ubernommen. Wenn die Schwachstelle besonders schlimme Auswirkungen hat, oder wenn wir Grund zur Annahme haben, dass sie aktiv ausgenutzt wird, werden wir einen gesonderten MediaWiki-Sicherheits-Release herausgeben um sicherzustellen, dass Dritte geschutzt sind.
- Soweit du nicht angibst, dass bestimmte Informationen nicht veroffentlicht werden durfen, werden wir das Phabricator-Ticket offentlich machen, sobald die Fehlerkorrektur in ein Release fließt, und dich in der Ankundigung zum Release dankend erwahnen. Wenn du das Problem per E-Mail an security
wikimedia.org berichtest, wird diese E-Mail selbst moglicherweise veroffentlicht. Dies kann deine E-Mail-Adresse und -Signatur beinhalten, soweit du nichts Gegenteiliges forderst. Der Phabricator-Tag
PermanentlyPrivate
sorgt dafur, dass Problemberichte auf Dauer vertraulich gehalten werden.
Dankende Erwahnung von Problemmeldern
- Meldende werden im Commit-Kommentar zur Problembehebung dankend erwahnt
- Meldende werden in der offiziellen Ankundigungs-E-Mail an die
MediaWiki-announce
-Mailing-Liste dankend erwahnt
- Eine dankende Erwahnung erfolgt unter
Wikimedia Security Team/Thanks
bei Schwachstellen im MediaWiki-Kern oder angebundenen Bibliotheken, Skins und Erweiterungen
- Derzeit gibt es kein Budget fur das Melden von Sicherheitsproblemen, d.h. fur die Entdeckung von Sicherheitsfehlern in diesen Projekten werden von der Wikimedia-Stiftung
keine Pramien gezahlt
, weder in Form von Geld noch als Ware
Nachverfolgung der Problembehebung
Soweit moglich sollten wahrend des Problembehebungsprozesses die Sicherheitsfehler Kommentare haben, die folgendes umfassen:
- Schritt-fur-Schritt-Anleitung zum Nachvollziehen weiterer Probleme
- Links zu den Commits, die den Fehler eingefuhrt haben
- Links zu den Gerrit-Changesets, die den Fehler beheben
Zugriff durch den Problemmelder auf selbst verfasste Problemberichte ist Standard, aber um allgemein Zugriff auf sicherheits-geschutzte Probleme Zugriff zu erhalten, gibt es einen gesonderten
Prozess
Patches beitragen
Wenn du eine Fehlerkorrektur ("Patch") fur einen Sicherheitsfehler einreichen willst, fuge sie bitte als Anhang am
Phabricator
-Task an. Du kannst die Fehlerkorrektur entweder mit der Maus in den Kommentarbereich ziehen oder einen Diff der Fehlerkorrektur als Kommentar einbinden.
Bitte keine Fehlerkorrekturen in
Gerrit
einbringen (
do not submit patches to
Gerrit
). Alle Gerrit-Anderungen (inklusive "Entwurfe") sind offentlich zuganglich.
Verwandte Sicherheitsinhalte