Informar de fallos de seguridad

Este es el proceso a seguir para informar de fallos de seguridad en el software y los servicios mantenidos o gestionados por la Fundación Wikimedia. Esto incluye MediaWiki y proyectos de Wikimedia tales como Wikipedia.

Apoyamos la revelación responsable y esperamos que cualquiera que encuentre un posible fallo de seguridad en nuestro ecosistema actúe con discreción y paciencia.

Esto es una descripción general, no pretende ser un análisis pormenorizado de lo que es o deja de ser un fallo de seguridad.

• Problemas que afecten a la disponibilidad de uno o más de los servicios que forman parte del ecosistema Wikimedia, y en particular cuando se trate del resultado de una serie de acciones hostiles u orquestadas de forma deliberada.
• Cuando la integridad de los datos alojados por la Fundación Wikimedia o entidades afiliadas corra riesgo de ser corrompida, manipulada, o modificada de cualquier otro modo sin autorización.
• Cuando la confidencialidad de los datos propiedad de la Fundación Wikimedia o de sus entidades afiliadas pueda verse comprometida, de tal manera que la información destinada a ser restringida o privada pueda ser filtrada, revelada, robada o extraída de forma no autorizada.

Para informar de un fallo, envía un correo electrónico a security@wikimedia.org o utiliza el formulario Informar de fallo de seguridad de Phabricator.

Los informes de este tipo no se harán públicos en el momento de la notificación. Mira más abajo el proceso posterior a la resolución de los fallos.

• Instrucciones paso a paso para reproducir el fallo.
• Si es posible, es aconsejable incluir código a modo de prueba de concepto para demostrar el fallo.
• Si la vulnerabilidad puede reproducirse en un proyecto concreto de Wikimedia (como Wikipedia o Wikcionario), indica de cuál se trata, ya que las configuraciones varían de un sitio a otro.
• Si es relevante, indica si estás o no identificado en el sistema cuando se produce el fallo.
• En el caso de ataques tipo XSS o de vulnerabilidades que requieran de un navegador o plugin específicos, por favor, indica qué navegador estás usando y qué versión. Será útil saber las versiones de todo el software relacionado con el fallo.
• Si la conoces, indica la categoría OWASP de vulnerabilidad (utilizando las 10 principales categorías OWASP de 2017), o bien el identificador CWE (utilizando la lista de Research Concepts).
• Identificador CVE, si hay alguno asignado (utilizando la base de datos CVE del NIST).
• Cualquier otra información necesaria para investigar y reproducir el fallo.

Si informas de la vulnerabilidad por correo electrónico a security@wikimedia.org, dinos si tienes una cuenta en el Phabricator de Wikimedia, ya que te añadiremos al fallo que introduzcamos en el sistema de forma que puedas seguir su evolución.

Es posible crear cuentas en Phabricator mediante una cuenta wiki de identificación unificada (SUL) pre-existente.

Nosotros:

• Determinaremos si lo consideramos un problema de seguridad.
• Intentaremos reproducir el problema y asignaremos una prioridad a su resolución que irá en función de su impacto.
• Se añadirá un parche en Phabricator y otra persona lo supervisará.
  • El parche debería contener pruebas de regresión siempre que sea posible.
• El parche se aplicará en el clúster de Wikimedia, y el acceso al mismo se restringirá a unos pocos socios y distribuidores de confianza.^{[citation needed]}
• Si procede, el parche se incluirá en la siguiente versión de MediaWiki. Si el impacto de la vulnerabilidad reviste especial gravedad, o si tenemos motivos para pensar que el fallo está siendo activamente explotado, publicaremos una versión especial de seguridad de MediaWiki para garantizar la debida protección a terceros.
• A menos que nos indiques de forma explícita que determinada información no debe divulgarse, el ticket de Phabricator se hará público una vez que se lance el parche, y se te dará crédito en el anuncio de la versión corregida. Si informas del fallo por correo electrónico a security@wikimedia.org, el correo en sí puede hacerse público. Esto puede incluir tu dirección de correo electrónico y tu firma a menos que nos solicites expresamente lo contrario. La etiqueta PermanentlyPrivate de Phabricator garantiza que los informes se guarden de forma confidencial a perpetuidad.
• Decidiremos si es conveniente publicar un identificador CVE en caso de no haber uno ya incluido en el informe original.

• Se dará crédito a quien haya informado del fallo como parte del mensaje que hace efectivo el parche en Gerrit.
• Asimismo, se dará crédito al informador como parte del correo electrónico que anuncia oficialmente la publicación del parche en la lista de correo MediaWiki-announce.

Siempre que sea posible, durante el proceso correctivo los informes relacionados con fallos de seguridad deberán tener comentarios que incluyan:

• Instrucciones paso a paso para reproducir problemas adicionales.
• Enlaces a los cambios que introdujeron el fallo.
• Enlaces a los cambios en Gerrit que corrigen el fallo.

El acceso a sus propios informes por parte de los informadores es estándar, pero para tener acceso general a asuntos relacionados con seguridad es necesario seguir un proceso aparte.

Si quieres aportar un parche para un fallo de seguridad, por favor, añádelo como adjunto a la tarea de Phabricator. Puedes arrastrar y soltar el parche en el área de comentarios, o incluir un diff del parche como comentario.

Por favor, no mandes parches a Gerrit. Todos los cambios que se suben a Gerrit (incluyendo borradores) son accesibles para todo el mundo.

• Lee la sección Crear un parche de seguridad en Wikitech para ver los pasos a seguir para crear estos parches, y la sección Parches de seguridad para saber cómo se aplican.