Сообщение об ошибках в системе безопасности

Это процесс сообщения о проблемах безопасности в программном обеспечении и сервисах, поддерживаемых или управляемых Фондом Викимедиа. Сюда входят MediaWiki и проекты Викимедиа, такие как Википедия.

Мы поддерживаем ответственное раскрытие информации и надеемся, что любой человек, который найдёт потенциальную проблему с безопасностью в нашей экосистеме, будет действовать с благоразумием и снисходительностью.

Это общий обзор, а не исчерпывающий перечень сферы действия данного процесса.

• Вопросы, которые влияют на доступность одного из нескольких сервисов которые являются частью экосистемы Викимедиа, но особенно когда это является результатом враждебного набора действий или кампании.
• Когда целостность данных, размещенных Фондом Викимедиа или связанными с ним организациями подвергается риску быть поврежденной, измененной или иным образом измененной несанкционированным образом.
• Когда конфиденциальность данных, принадлежащих Фонду Викимедиа или его аффилированным организациям, подвергается угрозе, как информация, предназначенная для ограничения или частная информация, утекает, раскрывается, крадется или выходит в несанкционированный вид.

Для того, чтобы сообщить о проблеме, напишите письмо по адресу электронной почты security@wikimedia.org или используйте форму жалобы о проблеме безопасности на Фабрикаторе.

Подобные отчёты не будут публично видны в момент его составления. Посмотрите ниже для дальнейших действий, когда проблемы будут решены.

• Пошаговые инструкции по воспроизведению проблемы
• Если возможно, код проверки концепции, демонстрирующий проблему является лучшей практикой
• Если уязвимость может быть повторена на проекте Викимедиа (такой как Википедия или Викисловарь) пожалуйста укажите какой так как конфигурации сайта могут отличаться
• Если это применимо, укажите, вошли ли вы в учётную запись или нет когда возникает проблема
• Для XSS или уязвимостей, которым нужны специфический браузер или плагин, пожалуйста укажите какой браузер вы используете. Информация о специфической версии какого либо используемого программного обеспечения также будет полезной.
• OWASP-категория уязвимости (используя OWASP Топ 10 для 2017), или CWE id (используя CWE от Research Concepts)
• CVE, если назначены (используя базу NIST CVE)
• Любая другая информация, необходимая для исследования и воспроизведения проблемы

Если вы доложите проблему по электронной почте на security@wikimedia.org, дайте нам знать есть ли у вас аккаунт Wikimedia Phabricator так как мы добавим вас к ошибке которую мы создадим чтобы бы могли отслеживать статус.

Учётные записи Phabricator могут быть созданы с использованием существующей единой учётной записи.

Мы:

• Определим, считается ли это проблемой безопасности.
• Попытаемся воспроизвести проблему и присвоить ей приоритет в зависимости от её воздействия.
• Патч будет добавлен в Phabricator, и другой человек его рассмотрит.
  • По возможности патч должен содержать регрессионные тесты.
• Патч будет развернут в кластере Wikimedia, а доступ к нему будет предоставлен нескольким доверенным партнерам и дистрибьюторам.^{[citation needed]}
• Если применимо, патч будет включён в следующий выпуск MediaWiki. Если последствия уязвимости будут особенно серьёзными или появятся признаки того, что она активно эксплуатируется, мы выпустим специальный релиз безопасности MediaWiki, чтобы гарантировать защиту третьих лиц.
• Если вы явно не укажете, что определённая информация не должна публиковаться, мы сделаем тикет Phabricator доступным после выпуска исправления и упомянем вас в объявлении о выпуске. Если вы сообщите о проблеме по электронной почте на адрес security@wikimedia.org, само письмо может быть опубликовано. Оно может включать ваш адрес электронной почты и подпись, если вы не запросите об обратном. Тег PermanentlyPrivate на Phabricator позволит сохранить постоянную конфиденциальность отчётов.
• Определите, нужно ли публиковать запись CVE, если она не была включена в исходный отчёт.

• Credit will be given to the reporter in the commit message fixing the issue.
• Credit will be given to the reporter in the official announcement email going to the MediaWiki-announce mailing lists.

По возможности в процессе исправления ошибки безопасности должны сопровождаться комментариями, которые включают в себя:

• Пошаговые инструкции по воспроизведению дальнейших ошибок.
• Ссылки на коммиты, в которых возникла ошибка.
• Ссылки на пакеты изменений Gerrit, исправляющие ошибку.

Пожалуйста, не отправляйте патчи в Gerrit. Все изменения в Gerrit (включая «черновики») доступны публично.

• See Creating a Security Patch section on wikitech for steps to create these patches, and Security patches section for how these patches are deployed.