Informar errores de seguridad
Este es el proceso, para informar problemas de seguridad en el software y servicios mantenidos u operados por la Fundación Wikimedia. Esto incluye MediaWiki y proyectos Wikimedia como Wikipedia.
Apoyamos divulgación responsable y esperamos que cualquiera que encuentre un posible problema de seguridad en nuestro ecosistema actúe con discreción y tolerancia.
Qué se considera un problema de seguridad
Este es un esquema general y no una lista exhaustiva del alcance de este proceso.
- Problemas que afectan a la disponibilidad de uno o más servicios que forman parte del ecosistema Wikimedia, pero en particular cuando esto es el resultado de un conjunto de acciones hostiles o campañas.
- Cuando la integridad de los datos alojados por la Fundación Wikimedia o las entidades afiliadas corre el riesgo de ser corrompida, manipulada o modificada de otra manera no autorizada.
- Cuando la confidencialidad de los datos propiedad de la Fundación Wikimedia o de sus entidades afiliadas se vea comprometida, de tal manera que la información destinada a ser restringida o privada sea filtrada, revelada, robada o exfiltrada de manera no autorizada.
Informar de un problema de seguridad
Para informar un problema, envíe un correo electrónico a security@wikimedia.org o utilice el formulario Informar problema de seguridad en Phabricator.
Dichos informes no serán visibles públicamente en el momento de la notificación. Consulte a continuación el proceso posterior una vez resueltos los problemas.
Qué incluir en un informe de problemas de seguridad
- Instrucciones paso a paso para reproducir el problema
- Si es posible, el código prueba de concepto que demuestra el problema es una buena práctica
- Si la vulnerabilidad puede reproducirse en un proyecto de Wikimedia (como Wikipedia o Wiktionary), indique cuál, ya que las configuraciones de los sitios varían
- Si procede, indique si está conectado o desconectado cuando se produce el problema
- En el caso de XSS o de vulnerabilidades que requieran un navegador o plugin específico, indique qué navegador y qué versión está utilizando. La versión específica de cualquier software utilizado será útil.
- OWASP categoría de vulnerabilidad (utilizando OWASP Top 10 for 2017), o CWE id (utilizando CWE By Research Concepts)
- CVE if assigned (using the NIST CVE database)
- Cualquier otra información necesaria para investigar y reproducir el problema
Si informas de la vulnerabilidad por correo electrónico a security@wikimedia.org, haznos saber si tienes una cuenta de Wikimedia Phabricator, ya que te añadiremos al error que creamos, para que puedas seguir el estado.
Es posible crear cuentas de Phabricator mediante una cuenta wiki de identificación unificada (SUL) existente.
Qué sucede cuando se informan problemas de seguridad
Nosotros:
- Determinaremos si lo consideramos un problema de seguridad
- Intentaremos reproducir el problema y asignaremos una prioridad al defecto en función de su impacto.
- Se añadirá un parche en Phabricator y otra persona lo revisará.
- El parche debe contener pruebas de regresión, siempre que sea posible.
- The patch will be deployed on the Wikimedia cluster, and access to the patch will be given to a few trusted partners and distributors.[citation needed]
- If applicable, the patch will be included in the next release of MediaWiki. If the impact of the vulnerability is especially bad, or we have indication that it is being actively exploited, we will make a special security release of MediaWiki to ensure third parties are protected.
- Unless you explicitly indicate that certain information must not be published, we will make the Phabricator ticket public when the fix is released, and credit you in the release announcement. If you report the issue via email to security
wikimedia.org the email itself may be publicly released. This may include your email address and signature unless you request otherwise. The Phabricator tag PermanentlyPrivate will ensure reports are kept confidential in perpetuity.
Abonando reporteros
- Credit will be given to the reporter in the commit message fixing the issue
- Credit will be given to the reporter in the official announcement email going to the MediaWiki-announce mailing lists
- Credit will be given on Wikimedia Security Team/Thanks for vulnerabilities in MediaWiki core or a bundled library, skin, or extension.
- Currently, there is no budget for security reports. This means no bounties are paid by Wikimedia Foundation for discovering security bugs on these projects, either in money or in merchandise.
Tracking report remediation
Siempre que sea posible, durante el proceso correctivo, los informes de seguridad deben tener comentarios que incluyan
- Instrucciones paso a paso para reproducir problemas adicionales
- Enlaces a las consignas que introdujeron el defecto
- Enlaces a los conjuntos de cambios de Gerrit que corrigen el defecto
Reporter access to their own authored reports is standard, but to gain access to security protected issues generally there is a separate process
Contribuyendo patches
If you would like to provide a patch for a security bug, please add it as an attachment to the Phabricator task. You can either drag-and-drop the patch into the comment area, or include a diff of the patch as a comment.
Por favor no entrega patches a Gerrit. Todos cambios de Gerrit (incluyendo borradores) son públicamente accesible.
- Ve el sección de Creando un Patch de Seguridad en Wikitech para pasos para crear estos patches, y el sección de los patches de Seguridad sobre cómo se implementan los patches.
Contenido sobre seguridad relacionado
| Proyecto | Uso por el equipo de seguridad de Wikimedia |
|---|---|
| mediawiki.org | Contenido general de Politicas, SOPs, etc. página del Equipo de Seguridad Oficial. |
| wikitech.wikimedia.org | Material procedimental o instruccional que no es de formación. |
| meta.wikimedia.org | Normativas y otro contenido para traducción. |
| office.wikimedia.org | Contenido delicado o privado. Se debe contar con un acuerdo de confidencialidad y el acceso apropiado. |
| foundation.wikimedia.org | Ubicación canónica de las normativas. |