Relatando bugs de segurança

Este é o processo para relatar problemas de segurança em software e serviços mantidos ou operados pela Wikimedia Foundation. Isso inclui o MediaWiki e Wikimedia projects como a Wikipedia.

Apoiamos divulgação responsável e esperamos que qualquer pessoa que encontre um possível problema de segurança em nosso ecossistema aja com discrição e tolerância.

Este é um esboço geral e não uma lista exaustiva do escopo deste processo.

• Problemas que afetam a disponibilidade de um dos mais serviços que fazem parte do ecossistema Wikimedia, mas em particular quando este é o resultado de um conjunto hostil de ações ou campanhas.
• Quando a integridade dos dados hospedados pela Wikimedia Foundation ou entidades afiliadas estiver em risco de ser corrompida, adulterada ou modificada de outra forma de maneira não autorizada.
• Quando a confidencialidade dos dados de propriedade da Wikimedia Foundation ou de suas entidades afiliadas é comprometida, de modo que as informações destinadas a serem restritas ou privadas sejam vazadas, reveladas, roubadas ou exfiltradas de maneira não autorizada.

Para relatar um problema, envie um e-mail para security@wikimedia.org ou use o Relatar Problema de Segurança no formulário Fabricator.

Tais relatórios não serão publicamente visíveis no momento da denúncia. Veja abaixo o processo adicional assim que os problemas forem resolvidos.

• Instruções passo a passo para reproduzir o problema
• Se possível, o código prova de conceito demonstrando o problema é uma prática recomendada
• Se a vulnerabilidade puder ser reproduzida em um projeto Wikimedia (como a Wikipédia ou o Wikcionário), indique quais configurações de site variam
• Se aplicável, indique se você está conectado ou desconectado quando o problema ocorre
• Para XSS ou vulnerabilidades que exigem um navegador ou plug-in específico, indique qual navegador e versão você está usando. A versão específica de qualquer software usado será útil.
• OWASP categoria de vulnerabilidade (usando OWASP Top 10 para 2017), ou CWE id (usando CWE By Research Concepts)
• CVE se atribuído (usando o [banco de dados CVE do NIST https://nvd.nist.gov/vuln/search])
• Qualquer outra informação necessária para investigar e reproduzir o problema

Se você relatar a vulnerabilidade por e-mail para security@wikimedia.org, informe-nos se você tem um Wikimedia Phabricator conta como vamos adicioná-lo ao bug que criamos, para que você possa acompanhar o status.

As contas Phabricator podem ser criadas usando uma conta SUL Wiki existente.

Vamos:

• Determinar se consideramos um problema de segurança
• Tente reproduzir o problema e atribua uma prioridade ao bug com base em seu impacto.
• Um patch será adicionado no Phabricator, e outra pessoa irá analisá-lo.
  • O patch deve conter testes de regressão, sempre que possível.
• O patch será implantado no cluster da Wikimedia, e o acesso ao patch será dado a alguns parceiros e distribuidores confiáveis.^{[citation needed]}
• Se aplicável, o patch será incluído na próxima versão do MediaWiki. Se o impacto da vulnerabilidade for especialmente ruim, ou se tivermos indicação de que ela está sendo explorada ativamente, faremos uma versão de segurança especial do MediaWiki para garantir que terceiros estejam protegidos.
• A menos que você indique explicitamente que certas informações não devem ser publicadas, tornaremos o ingresso do Phabricator público quando a correção for lançada e creditaremos você no anúncio de lançamento. Se você reportar o problema via o email para security@wikimedia.org o email em si talvez seja publicamente lançado. Isso pode incluir seu endereço de e-mail e assinatura, a menos que você solicite o contrário. A tag Phabricator PermanentlyPrivate garantirá que os relatórios sejam mantidos confidenciais em perpetuidade.
• Determine if a CVE record needs to be published if it was not included in the original report

• O crédito será dado ao repórter na mensagem de confirmação que corrige o problema
• O crédito será dado ao repórter no e-mail de anúncio oficial indo para o MediaWiki-announce listas de discussão
• O crédito será dado em Wikimedia Security Team/Thanks por vulnerabilidades no núcleo do MediaWiki ou em uma biblioteca, skin ou extensão empacotada.
• Atualmente, não há orçamento para relatórios de segurança. Isso significa que "nenhuma recompensa é paga" pela Wikimedia Foundation por descobrir bugs de segurança nesses projetos, seja em dinheiro ou em mercadorias.

Quando possível durante o processo de correção, os bugs de segurança devem ter comentários que incluam:

• Instruções passo a passo para reproduzir outros problemas
• Links para as confirmações que introduziram o bug
• Links para os conjuntos de alterações Gerrit que corrige o bug

O acesso do repórter a seus próprios relatórios criados é padrão, mas para obter acesso a problemas protegidos por segurança, geralmente há um processo separado

Se você gostaria de fornecer um patch para um bug de segurança, por favor, adicione-o como um anexo para o Phabricator tarefa. Você pode arrastar e soltar o patch na área de comentários ou incluir uma comparação do patch como um comentário.

Por favor, não envie patches para Gerrit. Todas as alterações do Gerrit (incluindo "rascunhos") são acessíveis ao público.

• Consulte Criando um patch de segurança seção na wikitech para as etapas para criar esses patches, e Patches de segurança para saber como esses patches são implantados.