Ez a lap a Wikimédia Alapítvány által kezelt vagy működtetett szoftverek és szolgáltatások biztonsági hibáinak bejelentésének folyamatát ismerteti. Idetartozik a MediaWiki és a Wikimédia-projektek, például a Wikipédia.

Támogatjuk a felelős közzétételt és reméljük, hogy ha bárki egy lehetséges biztonsági rést talál a rendszerünkben az diszkréten és türelmesen jár el.

Mi számít biztonsági hibának

Ez egy általános ismertető és nem a folyamat hatáskörének kimerítő listája.

  • Azok a hibák, amelyek kihatnak több szolgáltatás valamelyikére, amely a Wikimedia rendszer része, különösen, ha ez egy rosszindulatú támadás vagy kampány eredménye.
  • Amikor a Wikimedia Alapítvány vagy a hozzá kapcsolódó szervezetek által tárolt adatok sértetlensége veszélybe kerül, például ha azokat jogosulatlan módon megpróbálják meghamisítani, módosítani vagy más módon befolyásolni.
  • Amikor a Wikimedia Alapítvány vagy a hozzá kapcsolódó szervezetek tulajdonában lévő adatok bizalmassága sérül, így a korlátozott hozzáférésű vagy magánjellegű információk jogosulatlan módon kiszivárognak, nyilvánosságra kerülnek, ellopják őket, vagy illetéktelenek megszerzik.

Biztonsági hiba bejelentése

Hiba jelentéséhez küldj emailt a security@wikimedia.org címre, vagy jelentsd a biztonsági hibát a Phabricator-on keresztül.

Az ilyen jelentések nem lesznek láthatóak mindenki számára a jelentés idejében. Lásd alább a további procedúrákat miután a hibák ki lettek javítva.

Mit tartalmazzon a biztonsági hiba bejelentése

  • A hiba reprodukciója lépésről lépésre
  • If possible, proof-of-concept code demonstrating the issue is a best practice
  • If the vulnerability can be reproduced on a Wikimedia project (such as Wikipedia or Wiktionary) please indicate which as site configurations vary
  • If applicable, indicate if you are logged in or logged out when the issue occurs
  • For XSS or vulnerabilities that require a specific browser or plugin, please indicate which browser and version you are using. The specific version of any software used will be helpful.
  • OWASP vulnerability category (using OWASP Top 10 for 2017), or CWE id (using CWE By Research Concepts)
  • CVE if assigned (using the NIST CVE database)
  • Any other information needed to investigate and reproduce the issue

If you report the vulnerability by email to security@wikimedia.org, let us know if you have a Wikimedia Phabricator account as we will add you to the bug we create, so you can track the status.

A Phabricator-fiókok létrehozhatók meglévő SUL Wiki-fiókkal.

Mi történik a biztonsági hiba bejelentésekor

A következőket fogjuk tenni:

  • Meghatározzuk, hogy biztonsági hibának minősül-e
  • Megpróbáljuk a hibát reprodukálni, és prioritási szintet rendelünk hozzá súlyossága alapján.
  • A patch will be added in Phabricator, and another person will review it.
    • A javításnak, ha lehet, tartalmaznia kell regressziós teszteket.
  • The patch will be deployed on the Wikimedia cluster, and access to the patch will be given to a few trusted partners and distributors.[citation needed]
  • If applicable, the patch will be included in the next release of MediaWiki. Ha a sebezhetőség különösen rossz, vagy ismert, hogy aktívan kihasználják, speciális biztonsági kiadást adunk ki a MediaWikiből a harmadik felek védelme után.
  • Unless you explicitly indicate that certain information must not be published, we will make the Phabricator ticket public when the fix is released, and credit you in the release announcement. If you report the issue via email to security@wikimedia.org the email itself may be publicly released. This may include your email address and signature unless you request otherwise. A PermanentlyPrivate Phabricator-címke biztosítja, hogy a jelentések örökre titkosak lesznek.

Crediting reporters

  • Credit will be given to the reporter in the commit message fixing the issue
  • Credit will be given to the reporter in the official announcement email going to the MediaWiki-announce mailing lists
  • Credit will be given on Wikimedia Security Team/Thanks for vulnerabilities in MediaWiki core or a bundled library, skin, or extension.
  • Jelenleg nincs a biztonsági bejelentésekre keret. Ez azt jelenti, hogy nem fizet a Wikimédia Alapítvány a projektek biztonsági hibáinak felfedezéséért, sem pénzben, sem természetben.

Tracking report remediation

When possible during the remediation process, the security bugs should have comments that include:

  • A további hibák reprodukciója lépésről lépésre
  • Links to the commits that introduced the bug
  • Links to the Gerrit changesets that fixes the bug

Reporter access to their own authored reports is standard, but to gain access to security protected issues generally there is a separate process

Contributing patches

If you would like to provide a patch for a security bug, please add it as an attachment to the Phabricator task. You can either drag-and-drop the patch into the comment area, or include a diff of the patch as a comment.

Kérjük, ne küldj javításokat a Gerritre. Minden Gerrit-változtatás (beleértve a „vázlatokat” is) nyilvánosan elérhető.

