Reporting security bugs/de

Dies ist der Prozess für das Melden von Sicherheitsproblemen in Software und Diensten, die von der Wikimedia Foundation gewartet oder betreibt wird. Dies enthält MediaWiki und Wikimedia-Projekte wie Wikipedia.

Wir unterstützen Responsible Disclosure und hoffen, das jeder, der ein mögliches Sicherheitsproblem in unseren Ökosystem findet, mit Diskretion und Nachsicht handelt.

Was als Sicherheitsproblem angesehen wird
This is a general outline and not an exhaustive listing of the scope of this process.
 * Issues that affect the availability of one of more services that are part of the Wikimedia ecosystem, but in particular when this is the result of a hostile set of actions or campaign.
 * When the integrity of data hosted by the Wikimedia Foundation or affiliated entities is at risk of being corrupted, tampered with, or otherwise modified in an unauthorized manner.
 * Wenn die Vertraulichkeit von Daten, die der Wikimedia Foundation oder verbundenen Unternehmen gehören, kompromittiert wird, d.h. dass Informationen, die als einer Zugriffsbeschränkung unterliegend oder als vertraulich zu betrachten sind, zugänglich werden, offengelegt, gestohlen oder unautorisiert abgezogen werden.

Ein Sicherheitsproblem melden
To report an issue, email [mailto:security@wikimedia.org security&#64;wikimedia.org] or use the Report Security Issue form on Phabricator.

Such reports will not be publicly visible at the time of reporting. See below for further process once issues are resolved.

What to include in a security issue report
If you report the vulnerability by email to [mailto:security@wikimedia.org security&#64;wikimedia.org], let us know if you have a Wikimedia Phabricator account as we will add you to the bug we create, so you can track the status.
 * Schritt-für-Schritt-Anleitung zum Nachvollziehen des Problems
 * If possible, proof-of-concept code demonstrating the issue is a best practice
 * Wenn die Schwachstelle bei einem Wikimedia-Projekt (wie z.B. Wikipedia oder Wiktionary) nachvollzogen werden kann, gib bitte an welches, weil sich die Website-Konfiguration unterscheidet
 * Wenn zutreffend, gib an, ob du an- oder abgemeldet bist, wenn das Problem auftritt
 * Bei XSS oder Schwachstellen, deren Ausnutzung einen bestimmten Browser oder ein bestimmtes Plugin erfordern, gib bitte den Browser und die Version an, die du verwendest. Die genaue Version jeder eingesetzten Software ist hilfreich.
 * OWASP vulnerability category (using OWASP Top 10 for 2017), or CWE id (using CWE By Research Concepts)
 * CVE if assigned (using the NIST CVE database)
 * Irgendwelche weitere Informationen, die nötig sind, um das Problem zu untersuchen oder nachzuvollziehen

Phabricator accounts can be created using an existing SUL Wiki account.

Was passiert, wenn Sicherheitsfehler gemeldet werden
Wir werden:
 * Entscheiden, ob wir es als Sicherheitsproblem betrachten
 * Versuchen, das Problem nachzuvollziehen, und dem Fehler eine seiner Tragweite gemäße Priorität zuweisen.
 * Eine Fehlerkorrektur wird in Phabricator vorgenommen, und eine weitere Person wird diese kontrollieren.
 * The patch should contain regression tests, whenever possible.
 * The patch will be deployed on the Wikimedia cluster, and access to the patch will be given to a few trusted partners and distributors.
 * If applicable, the patch will be included in the next release of MediaWiki. If the impact of the vulnerability is especially bad, or we have indication that it is being actively exploited, we will make a special security release of MediaWiki to ensure third parties are protected.
 * Unless you explicitly indicate that certain information must not be published, we will make the Phabricator ticket public when the fix is released, and credit you in the release announcement. If you report the issue via email to security@undefinedwikimedia.org the email itself may be publicly released. This may include your email address and signature unless you request otherwise. The Phabricator tag PermanentlyPrivate will ensure reports are kept confidential in perpetuity.

Crediting reporters

 * Credit will be given to the reporter in the commit message fixing the issue
 * Credit will be given to the reporter in the official announcement email going to the MediaWiki-announce mailing lists
 * Credit will be given on Wikimedia Security Team/Thanks for vulnerabilities in MediaWiki core or a bundled library, skin, or extension.
 * Currently, there is no budget for security reports. This means no bounties are paid by Wikimedia Foundation for discovering security bugs on these projects, either in money or in merchandise.

Tracking report remediation
When possible during the remediation process, the security bugs should have comments that include: Reporter access to their own authored reports is standard, but to gain access to security protected issues generally there is a separate process
 * Step-by-step instructions to reproduce further issues
 * Links to the commits that introduced the bug
 * Links to the Gerrit changesets that fixes the bug

Patches beitragen
If you would like to provide a patch for a security bug, please add it as an attachment to the Phabricator task. You can either drag-and-drop the patch into the comment area, or include a diff of the patch as a comment.

Please do not submit patches to Gerrit. All Gerrit changes (including "drafts") are publicly accessible.
 * See Creating a Security Patch section on wikitech for steps to create these patches, and Security patches section for how these patches are deployed.