Este e o processo para relatar problemas de seguranca em software e servicos mantidos ou operados pela Wikimedia Foundation. Isso inclui o MediaWiki e
Wikimedia projects
como a Wikipedia.
Apoiamos
divulgacao responsavel
e esperamos que qualquer pessoa que encontre um possivel problema de seguranca em nosso ecossistema aja com discricao e tolerancia.
O que e considerado um problema de seguranca
Este e um esboco geral e nao uma lista exaustiva do escopo deste processo.
- Problemas que afetam a disponibilidade de um dos mais servicos que fazem parte do ecossistema Wikimedia, mas em particular quando este e o resultado de um conjunto hostil de acoes ou campanhas.
- Quando a integridade dos dados hospedados pela Wikimedia Foundation ou entidades afiliadas estiver em risco de ser corrompida, adulterada ou modificada de outra forma de maneira nao autorizada.
- Quando a confidencialidade dos dados de propriedade da Wikimedia Foundation ou de suas entidades afiliadas e comprometida, de modo que as informacoes destinadas a serem restritas ou privadas sejam vazadas, reveladas, roubadas ou exfiltradas de maneira nao autorizada.
Relatar um problema de seguranca
Para relatar um problema, envie um e-mail para
security@wikimedia.org
ou use o
Relatar Problema de Seguranca
no formulario
Fabricator
.
Tais relatorios nao serao publicamente visiveis no momento da denuncia. Veja abaixo o processo adicional assim que os problemas forem resolvidos.
O que incluir em um relatorio de problema de seguranca
- Instrucoes passo a passo para reproduzir o problema
- Se possivel, o codigo
prova de conceito
demonstrando o problema e uma pratica recomendada
- Se a vulnerabilidade puder ser reproduzida em um projeto Wikimedia (como a Wikipedia ou o Wikcionario), indique quais configuracoes de site variam
- Se aplicavel, indique se voce esta conectado ou desconectado quando o problema ocorre
- Para
XSS
ou vulnerabilidades que exigem um navegador ou plug-in especifico, indique qual navegador e versao voce esta usando. A versao especifica de qualquer software usado sera util.
- OWASP
categoria de vulnerabilidade (usando
OWASP Top 10 para 2017
), ou
CWE
id (usando
CWE By Research Concepts
)
- CVE
se atribuido (usando o [banco de dados CVE do NIST
https://nvd.nist.gov/vuln/search
])
- Qualquer outra informacao necessaria para investigar e reproduzir o problema
Se voce relatar a vulnerabilidade por e-mail para
security@wikimedia.org
, informe-nos se voce tem um
Wikimedia Phabricator
conta como vamos adiciona-lo ao bug que criamos, para que voce possa acompanhar o status.
As contas Phabricator podem ser
criadas
usando uma
conta SUL Wiki
existente.
O que acontece quando problemas de seguranca sao relatados
Vamos:
- Determinar se consideramos um problema de seguranca
- Tente reproduzir o problema e atribua uma prioridade ao bug com base em seu impacto.
- Um patch sera adicionado no Phabricator, e outra pessoa ira analisa-lo.
- O patch deve conter testes de regressao, sempre que possivel.
- O patch sera implantado no cluster da Wikimedia, e o acesso ao patch sera dado a alguns parceiros e distribuidores confiaveis.
[
citation needed
]
- Se aplicavel, o patch sera incluido na proxima versao do MediaWiki. Se o impacto da vulnerabilidade for especialmente ruim, ou se tivermos indicacao de que ela esta sendo explorada ativamente, faremos uma versao de seguranca especial do MediaWiki para garantir que terceiros estejam protegidos.
- A menos que voce indique explicitamente que certas informacoes nao devem ser publicadas, tornaremos o ingresso do Phabricator publico quando a correcao for lancada e creditaremos voce no anuncio de lancamento.
If you report the issue via email to security
wikimedia.org the email itself may be publicly released.
Isso pode incluir seu endereco de e-mail e assinatura, a menos que voce solicite o contrario. A tag Phabricator
PermanentlyPrivate
garantira que os relatorios sejam mantidos confidenciais em perpetuidade.
Creditos dos reporteres
- O credito sera dado ao reporter na mensagem de confirmacao que corrige o problema
- O credito sera dado ao reporter no e-mail de anuncio oficial indo para o
MediaWiki-announce
listas de discussao
- O credito sera dado em
Wikimedia Security Team/Thanks
por vulnerabilidades no nucleo do MediaWiki ou em uma biblioteca, skin ou extensao empacotada.
- Atualmente, nao ha orcamento para relatorios de seguranca. Isso significa que "nenhuma recompensa e paga" pela Wikimedia Foundation por descobrir bugs de seguranca nesses projetos, seja em dinheiro ou em mercadorias.
Remediacao do relatorio de rastreamento
Quando possivel durante o processo de correcao, os bugs de seguranca devem ter comentarios que incluam:
- Instrucoes passo a passo para reproduzir outros problemas
- Links para as confirmacoes que introduziram o bug
- Links para os conjuntos de alteracoes Gerrit que corrige o bug
O acesso do reporter a seus proprios relatorios criados e padrao, mas para obter acesso a problemas protegidos por seguranca, geralmente ha um
processo
separado
Contribuindo com patches
Se voce gostaria de fornecer um patch para um bug de seguranca, por favor, adicione-o como um anexo para o
Phabricator
tarefa. Voce pode arrastar e soltar o patch na area de comentarios ou incluir uma comparacao do patch como um comentario.
Por favor,
nao envie patches para
Gerrit
. Todas as alteracoes do Gerrit (incluindo "rascunhos") sao acessiveis ao publico.
Conteudo de seguranca relacionado