Dies ist der Prozess fur das Melden von Sicherheitsproblemen in Software und Diensten, die von der Wikimedia Foundation gewartet oder betreibt wird. Dies enthalt MediaWiki und Wikimedia-Projekte wie Wikipedia.

Wir unterstutzen Responsible Disclosure und hoffen, das jeder, der ein mogliches Sicherheitsproblem in unseren Okosystem findet, mit Diskretion und Nachsicht handelt.

Dies ist ein allgemeiner Uberblick und keine erschopfende Auflistung uber den Geltungsbereich dieses Prozesses.

• Probleme, welche die Verfugbarkeit eines oder mehrerer Dienste betreffen, die Teil des Wikimedia-Okosystems sind, aber insbesondere, wenn dies das Ergebnis feindseliger Handlungen oder Angriffe ist.
• Wenn die Integritat von Daten, die bei der Wikimedia Foundation oder verbundenen Unternehmen gehostet werden, bedroht ist zerstort, manipuliert oder auf andere nicht autorisierte Weise verandert zu werden.
• Wenn die Vertraulichkeit von Daten, die der Wikimedia Foundation oder verbundenen Unternehmen gehoren, kompromittiert wird, so dass Informationen, die als einer Zugriffsbeschrankung unterliegend oder als vertraulich zu betrachten sind, zuganglich werden, offengelegt, gestohlen oder unautorisiert abgezogen werden.

Um einen Fehler zu melden, schicke eine E-Mail an security@wikimedia.org oder verwende das Report Security Issue -Formular unter Phabricator .

Solche Fehlerberichte sind bei der Aufnahme nicht offentlich sichtbar. Siehe unten fur den weiteren Prozess sobald Probleme behoben werden.

• Schritt-fur-Schritt-Anleitung zum Nachvollziehen des Problems
• Wenn moglich: Beispielquellen (" proof-of-concept code") zur Demonstration des Problems sind bewahrte Praxis
• Wenn die Schwachstelle bei einem Wikimedia-Projekt (wie z.B. Wikipedia oder Wiktionary) nachvollzogen werden kann, gib bitte an welches, weil sich die Website-Konfiguration unterscheidet
• Wenn zutreffend, gib an, ob du an- oder abgemeldet bist wenn das Problem auftritt
• Bei XSS oder Schwachstellen, deren Ausnutzung einen bestimmten Browser oder ein bestimmtes Plugin erfordern, gib bitte den Browser und die Version an, die du verwendest. Die genaue Version jeder eingesetzten Software ist hilfreich.
• OWASP -Schwachstellenkategorie (unter Verwendung von OWASP Top 10 for 2017 ), oder CWE -ID (unter Verwendung von CWE By Research Concepts )
• CVE soweit zugeteilt (unter Verwendung der NIST CVE database )
• Irgendwelche weitere Informationen, die notig sind, um das Problem zu untersuchen oder nachzuvollziehen

Wenn du die Schwachstelle per E-Mail an security@wikimedia.org meldest, lass es uns wissen, falls du ein Wikimedia Phabricator -Benutzerkonto hast, weil wir dich dann dem erstellten Fehler zuordnen, so dass du den Status verfolgen kannst.

Phabricator-Accounts konnen mithilfe eines bestehenden SUL-Wiki-Benutzerkontos erstellt werden.

Wir werden:

• Entscheiden, ob wir es als Sicherheitsproblem betrachten
• Versuchen, das Problem nachzuvollziehen, und dem Fehler eine seiner Tragweite gemaße Prioritat zuweisen.
• Eine Fehlerkorrektur wird in Phabricator vorgenommen, und eine weitere Person wird diese uberprufen.
  • Die Fehlerkorrektur sollte Regressionstests beinhalten, soweit irgend moglich.
• Die Fehlerkorrektur wird auf dem Wikimedia-Cluster ausgerollt, und einige wenige vertrauenswurdige Partner und Distributoren erhalten Zugriff auf die Fehlerkorrektur. ^{[ citation needed ]}
• Wenn zutreffend, wird die Fehlerkorrektur in den nachsten MediaWiki-Release ubernommen. Wenn die Schwachstelle besonders schlimme Auswirkungen hat, oder wenn wir Grund zur Annahme haben, dass sie aktiv ausgenutzt wird, werden wir einen gesonderten MediaWiki-Sicherheits-Release herausgeben um sicherzustellen, dass Dritte geschutzt sind.
• Soweit du nicht angibst, dass bestimmte Informationen nicht veroffentlicht werden durfen, werden wir das Phabricator-Ticket offentlich machen, sobald die Fehlerkorrektur in ein Release fließt, und dich in der Ankundigung zum Release dankend erwahnen. Wenn du das Problem per E-Mail an security wikimedia.org berichtest, wird diese E-Mail selbst moglicherweise veroffentlicht. Dies kann deine E-Mail-Adresse und -Signatur beinhalten, soweit du nichts Gegenteiliges forderst. Der Phabricator-Tag PermanentlyPrivate sorgt dafur, dass Problemberichte auf Dauer vertraulich gehalten werden.

• Meldende werden im Commit-Kommentar zur Problembehebung dankend erwahnt
• Meldende werden in der offiziellen Ankundigungs-E-Mail an die MediaWiki-announce -Mailing-Liste dankend erwahnt
• Eine dankende Erwahnung erfolgt unter Wikimedia Security Team/Thanks bei Schwachstellen im MediaWiki-Kern oder angebundenen Bibliotheken, Skins und Erweiterungen
• Derzeit gibt es kein Budget fur das Melden von Sicherheitsproblemen, d.h. fur die Entdeckung von Sicherheitsfehlern in diesen Projekten werden von der Wikimedia-Stiftung keine Pramien gezahlt , weder in Form von Geld noch als Ware

Soweit moglich sollten wahrend des Problembehebungsprozesses die Sicherheitsfehler Kommentare haben, die folgendes umfassen:

• Schritt-fur-Schritt-Anleitung zum Nachvollziehen weiterer Probleme
• Links zu den Commits, die den Fehler eingefuhrt haben
• Links zu den Gerrit-Changesets, die den Fehler beheben

Zugriff durch den Problemmelder auf selbst verfasste Problemberichte ist Standard, aber um allgemein Zugriff auf sicherheits-geschutzte Probleme Zugriff zu erhalten, gibt es einen gesonderten Prozess

Wenn du eine Fehlerkorrektur ("Patch") fur einen Sicherheitsfehler einreichen willst, fuge sie bitte als Anhang am Phabricator -Task an. Du kannst die Fehlerkorrektur entweder mit der Maus in den Kommentarbereich ziehen oder einen Diff der Fehlerkorrektur als Kommentar einbinden.

Bitte keine Fehlerkorrekturen in Gerrit einbringen ( do not submit patches to Gerrit ). Alle Gerrit-Anderungen (inklusive "Entwurfe") sind offentlich zuganglich.

• Siehe Abschnitt Creating a Security Patch unter Wikitech fur Schritte zum Erstellen dieser Fehlerkorrekturen, und Abschnitt Security patches dafur, wie diese Fehlerkorrekturen ausgerollt werden.