Reporting security bugs/de

Dies ist der Prozess für das Melden von Sicherheitsproblemen in Software und Diensten, die von der Wikimedia Foundation gewartet oder betreibt wird. Dies enthält MediaWiki und Wikimedia-Projekte wie Wikipedia.

Wir unterstützen Responsible Disclosure und hoffen, das jeder, der ein mögliches Sicherheitsproblem in unseren Ökosystem findet, mit Diskretion und Nachsicht handelt.



Was als Sicherheitsproblem angesehen wird
Dies ist ein allgemeiner Überblick und keine erschöpfende Auflistung über den Geltungsbereich dieses Prozesses. 
 * Probleme, welche die Verfügbarkeit eines oder mehrerer Dienste betreffen, die Teil des Wikimedia-Ökosystems sind, aber insbesondere, wenn dies das Ergebnis feindseliger Handlungen oder Angriffe ist.
 * Wenn die Integrität von Daten, die bei der Wikimedia Foundation oder verbundenen Unternehmen gehostet werden, bedroht ist zerstört, manipuliert oder auf andere nicht autorisierte Weise verändert zu werden.
 * Wenn die Vertraulichkeit von Daten, die der Wikimedia Foundation oder verbundenen Unternehmen gehören, kompromittiert wird, so dass Informationen, die als einer Zugriffsbeschränkung unterliegend oder als vertraulich zu betrachten sind, zugänglich werden, offengelegt, gestohlen oder unautorisiert abgezogen werden.

Ein Sicherheitsproblem melden
Um einen Fehler zu melden, schicke eine E-Mail an [mailto:security@wikimedia.org security&#64;wikimedia.org] oder verwende das Report Security Issue-Fromular unter Phabricator.

Solche Fehlerberichte sind bei der Aufnahme nicht öffentlich sichtbar. Siehe unten für den weiteren Prozess sobald Probleme behoben werden.



Was ein Sicherheitsfehlerbericht enthalten sollte

 * Schritt-für-Schritt-Anleitung zum Nachvollziehen des Problems
 * Wenn möglich: Beispielquellen ("proof-of-concept code") zur Demonstration des Problems sind bewährte Praxis
 * Wenn die Schwachstelle bei einem Wikimedia-Projekt (wie z.B. Wikipedia oder Wiktionary) nachvollzogen werden kann, gib bitte an welches, weil sich die Website-Konfiguration unterscheidet
 * Wenn zutreffend, gib an, ob du an- oder abgemeldet bist, wenn das Problem auftritt
 * Bei XSS oder Schwachstellen, deren Ausnutzung einen bestimmten Browser oder ein bestimmtes Plugin erfordern, gib bitte den Browser und die Version an, die du verwendest. Die genaue Version jeder eingesetzten Software ist hilfreich.
 * OWASP-Schwachstellenkategorie (unter Verwendung von OWASP Top 10 for 2017), oder CWE-ID (unter Verwendung von CWE By Research Concepts)
 * CVE soweit zugeteilt (unter Verwendung der NIST CVE database)
 * Irgendwelche weitere Informationen, die nötig sind, um das Problem zu untersuchen oder nachzuvollziehen

Wenn du die Schwachstelle per E-Mail an [mailto:security@wikimedia.org security&#64;wikimedia.org] meldest, lass es uns wissen, falls du ein Wikimedia Phabricator-Benutzerkonto hast, weil wir dich dann dem erstellten Fehler zuordnen, so dass du den Status verfolgen kannst.

Ein Phabricator-Benutzerkonto kann mithilfe eines bestehenden SUL-Wiki-Benutzerkontos erstellt werden.



Was passiert, wenn Sicherheitsfehler gemeldet werden
Wir werden:


 * Entscheiden, ob wir es als Sicherheitsproblem betrachten
 * Versuchen, das Problem nachzuvollziehen, und dem Fehler eine seiner Tragweite gemäße Priorität zuweisen.
 * Eine Fehlerkorrektur wird in Phabricator vorgenommen, und eine weitere Person wird diese kontrollieren.
 * Die Fehlerkorrektur sollte Regressionstests beinhalten, soweit irgend möglich.
 * Die Fehlerkorrektur wird auf dem Wikimedia-Cluster ausgerollt, und einige wenige vertrauenswürdige Partner und Distributoren erhalten Zugriff auf die Fehlerkorrektur.
 * Wenn zutreffend, wird die Fehlerkorrektur in den nächsten MediaWiki-Release übernommen. Wenn die Schwachstelle besonders schlimme Auswirkungen hat, oder wenn wir Grund zur Annahme haben, dass sie aktiv ausgenutzt wird, werden wir einen gesonderten MediaWiki-Sicherheits-Release herausgeben um sicherzustellen, dass Dritte geschützt sind.
 * Soweit du nicht angibst, dass bestimmte Informationen nicht veröffentlicht werden dürfen, werden wir das Phabricator-Ticket öffentlich machen, sobald die Fehlerkorrektur in ein Release fließt, und dich in der Ankündigung zum Release dankend erwähnen. Wenn du das Problem per E-Mail an security@undefinedwikimedia.org berichtest, wird diese E-Mail ggf. selbst öffentlich gemacht. Dies kann deine E-Mail-Adresse und -Signatur beinhalten, soweit du nichts Gegenteiliges forderst. Der Phabricator-Tag PermanentlyPrivate sorgt dafür, dass Fehlerberichte auf Dauer vertraulich gehalten werden.

Dankende Erwähnung von Problemmeldern

 * Der Problemmelder wird im Commit-Kommentar zur Fehlerbehebung dankend erwähnt.
 * Der Problemmelder wird in der offiziellen Ankündigungsmail an die MediaWiki-announce-Mailing-Liste dankend erwähnt.
 * Eine dankende Erwähnung erfolgt unter Wikimedia Security Team/Thanks bei Schwachstellen im MediaWiki-Kern oder angebundenen Bibliotheken, Skins und Erweiterungen.
 * Derzeit gibt es kein Budget für das Melden von Sicherheitsproblemen. D.h. es werden keine Prämien gezahlt durch die Wikimedia-Foundation für die Entdeckung von Sicherheitsfehlern in diesen Projekten, weder in Form von Geld noch als Ware.



Nachverfolgung der Problembehebung
Soweit möglich sollten während des Problembehebungsprozesses die Sicherheitsfehler Kommentare haben, die folgendes umfassen:


 * Schritt-für-Schritt-Anleitung zum Nachvollziehen weiterer Probleme
 * Links zu den Commits, die den Fehler eingeführt haben
 * Links zu den Gerrit-Changesets, die den Fehler beheben

Zugriff durch den Problemmelder auf selbst verfasste Problemberichte ist Standard, aber um allgemein Zugriff auf sicherheits-geschützte Probleme Zugriff zu erhalten, gibt es einen gesonderten Prozess



Patches beitragen
Wenn du eine Fehlerkorrektur ("Patch") für einen Sicherheitsfehler einreichen willst, füge sie bitte als Anhang am Phabricator-Task an. Du kannst die Fehlerkorrektur entweder mit der Maus in den Kommentarbereich ziehen oder einen Diff der Fehlerkorrektur als Kommentar einbinden.

Bitte keine Fehlerkorrekturen in Gerrit einbringen (do not submit patches to Gerrit). Alle Gerrit-Änderungen (inklusive "Entwürfe") sind öffentlich zugänglich.


 * Siehe Abschnitt Creating a Security Patch unter Wikitech für Schritte zum Erstellen dieser Fehlerkorrekturen, und Abschnitt Security patches dafür, wie diese Fehlerkorrekturen ausgerollt werden.

