Beveiligingsproblemen melden
Dit proces is voor het melden van beveiligingsproblemen in de software en de services die onderhouden en/of gebruikt worden door de WikiMedia Foundation. Dit omvat MediaWiki en Wikimedia projecten als Wikipedia.
Wij ondersteunen verantwoording nemende openbaarmaking en we hopen dat iedereen die een mogelijk beveiligingsprobleem in ons systeem vindt dat discreet en met begrip meldt.
Wat is een beveiligingsprobleem
Dit is een algemene beschrijving en niet een uitputtende allesomvattende lijst van op het gebied van dit proces.
- Onderwerpen die gevolgen hebben voor de beschikbaarheid van een of meer services van Wikimedia, maar in het bijzonder als dat het resultaat is van een vijandige actie of champagne.
- Als de integriteit van de gegevens op de Wikimedia Foundation of bijbehorende eenheden gevaar loopt of beschadigt of vervalst kan worden of anderszins op een niet toegestane manier gewijzigd kan worden.
- Als de vertrouwelijkheid van de gegevens van de Wikimedia Foundation of bijbehorende partij wordt geschonden, dus als afgeschermde gegevens openbaar worden gemaakt of gestolen worden.
Een beveiligingsprobleem melden
Om een probleem te melden, e-mail security@wikimedia.org of gebruik het Report Security Issue formulier op Phabricator.
Deze rapporten zijn niet openbaar op het moment van rapporteren. Hieronder staat aangegeven hoe het proces verder verloopt als het probleem is opgelost.
Wat moet er bij het melden worden aangegeven
- Een opsomming van de stappen om het probleem te reproduceren
- Indien mogelijk, proof-of-concept code die aangeeft dat het probleem de beste werkwijze is in de praktijk
- Als de kwetsbaarheid op een Wikimedia project (Wikipedia of Wiktionary) kan worden gereproduceerd, geeft dan aan of dat afhankelijk is van de instellingen van de website
- Indien van toepassing, was u ingelogd of niet toen het probleem optrad.
- Voor XSS of kwetsbaarheden die alleen bij een bepaalde webbrowser of plugin optreden, geef aan welke webbrowser/plugin en versie u gebruikt. Ook de gebruikte versie van welke software dan ook, kan nuttig zijn.
- OWASP kwetsbaarheid categorie (gebruik OWASP Top 10 in 2017), of CWE id (gebruik CWE By Research Concepts)
- CVE indien toegewezen (gebruik de NIST CVE database)
- Alle overige informatie die nodig is om het probleem te onderzoeken en te reproduceren
Als u het probleem via e-mail aan security@wikimedia.org meldt, geef dan aan of u een Wikimedia Phabricator account heeft, dan voegen we u toe aan de melding die we daar maken, dan kunt u de status van het probleem volgen.
Een Phabricator account kan worden aangemaakt met een bestaand SUL Wiki account.
Wat gebeurt er na het rapporteren
We gaan:
- Bekijken of we het als een beveiligingsprobleem zien.
- We proberen de fout te reproduceren en er een prioriteit aan toe kennen op grond van de impact.
- Een aanpassing wordt toegevoegd in Phabricator, een andere persoon gaat die wijziging beoordelen.
- De wijziging bevat regressietesten, indien mogelijk.
- De wijziging wordt uitgerold op het Wikimedia cluster, enige vertrouwde parners en distributeurs krijgen toegang tot de 'patch'.[citation needed]
- Indien het uitkomt wordt de 'patch' toegevoegd aan de volgende release van MediaWiki. Als de impact van de kwetsbaarheid groot is of het idee er is dat er misbruik van wordt gemaakt van de fout dan wordt er een extra beveiligingsrelease van MediaWiki om zeker te zijn dat de derde partijen zo snel mogelijk weer beschermd worden.
- Behalve als u aangeeft dat bepaalde informatie niet gepubliceerd mag worden, maken we het Phabricator ticket openbaar als de update wordt vrijgegeven, u wordt dan bedankt in de aankondiging van de release. Als u het aankaart via e-mail bij security@wikimedia.org kan ook de e-mail worden gepubliceerd. Dit kan uw e-mailadres en ondertekening bevatten tenzij u aangeeft dat u dat niet wil. De Phabricator tag PermanentlyPrivate zorgt ervoor dat rapporten blijvend vertrouwelijk worden gehouden.
- Bepalen of een CVE record gepubliceerd moet worden als het niet in het originele rapport staat.
Bedanken melders
- De beoordelaar in het commit bericht waarmee het probleem is opgelost wordt ook bedankt
- Ook de rapporteur in de officiële bekendmaking in de MediaWiki-announce mailinglijsten wordt bedankt.
- Ook het Wikimedia Security Team wordt bedankt bij het verhelpen van kwetsbaarheden in de MediaWiki core of een gebundelde bibliotheek, skin of extensie.
- Er is geen budget voor beveiligingsrapporten. Dit betekent dat er geen vergoeding wordt betaald door de Wikimedia Foundation voor het ontdekken van problemen.
Herstellen volgrapport
Indien mogelijk moet bij het proces om het probleem op te lossen, in het commentaar worden aangegeven:
- Een opsomming van de stappen om het probleem te reproduceren
- Links naar de commits waar het probleem is onderkend of veroorzaakt
- Links naar de Gerrit changesets die het probleem oplossen
Een rapporteur heeft standaard toegang tot de eigen geautoriseerde rapporten, maar om toegang te krijgen tot de beveiligde onderwerpen is een losstaand proces
Bijdragen patches
Indien u een patch voor een beveiligingsprobleem wilt bijdragen, voeg het dan toe als bijlage in de Phabricator taak. U kunt de patch slepen naar het commentaar of een 'diff' van de patch toevoegen als commentaar.
Voer a.u.b. geen patches in op Gerrit. Alle Gerrit wijzigingen (inclusief "drafts") zijn publiekelijk toegankelijk.
- Bekijk deze sectie op wikitech voor stappen om deze patches aan te maken, en deze sectie over hoe patches worden gebruikt.
Gerelateerde inhoud over beveiliging
Project | Gebruik door Wikimedia Security Team |
---|---|
mediawiki.org | Algemene inhoud over beleid, SOP's, enz. Officiële Security team pagina . |
wikitech.wikimedia.org | Procedures en instructies (geen oefening). |
meta.wikimedia.org | Beleid en andere inhoud voor vertaling. |
office.wikimedia.org | Gevoelige of private inhoud. Moet een NDA hebben en een bijpassende toegang. |
foundation.wikimedia.org | Gebruikelijke locatie voor beleid. |