Política de notificación y divulgación de vulnerabilidades

Puedes informar de los problemas enviando un correo electrónico al equipo de seguridad de DHIS2 security@dhis2.org.
Nuestro objetivo es responder en un plazo de 10 días laborables.
Te pedimos que

• Incluye sólo un breve resumen del problema y facilítanos tus datos de contacto para que podamos seguir hablando del asunto por un canal seguro.

Los informes de vulnerabilidad deben incluir instrucciones escritas claras para reproducir la vulnerabilidad.
Cada informe debe contener lo siguiente

• Versión DHIS2
• Número de compilación de DHIS2
• Descripción de la cuestión
• ¿Por qué lo consideras una vulnerabilidad de seguridad?
• Pasos para reproducir
• ¿Quieres acreditarte (SÍ/NO)?

Por favor, NO informes del problema en las listas de correo públicas y NO informes del problema a través del sistema Jira, ya que estos métodos están disponibles para miembros ajenos al equipo de seguridad.
Investigar y solucionar el problema notificado puede llevar tiempo, al igual que el despliegue de versiones actualizadas por parte de nuestros usuarios.
Por lo tanto, te pedimos que te abstengas de compartir vulnerabilidades públicamente hasta que consideremos que es seguro hacerlo.
Actualmente no ofrecemos recompensas monetarias por los informes de errores, pero estaremos encantados de dar crédito a los informadores en nuestro salón de la fama y en los registros de cambios.

• Cualquier instancia pública o privada alojada del servidor DHIS2 que no figure en la lista anterior.
• Versiones no compatibles de DHIS2
  • Sólo damos soporte y proporcionamos correcciones de seguridad para las 3 últimas versiones de DHIS2
• Ingeniería social, phishing o ataques físicos contra nuestros empleados, usuarios o infraestructuras
• Aplicaciones de terceros creadas en la plataforma DHIS2
  • Por «terceros» entendemos aplicaciones que no han sido publicadas ni desarrolladas por la Universidad de Oslo
• Vulnerabilidades en las dependencias ascendentes
• Falta de limitación de la tasa
  • Los informes relativos a los ataques DoS volumétricos están fuera del alcance.
• Vulnerabilidades debidas a versiones de navegador obsoletas
  • Las vulnerabilidades que afectan a las versiones obsoletas de los navegadores modernos están fuera del ámbito de aplicación, al igual que las causadas por las extensiones de los navegadores.
• Ataques MITM
  • No podemos proteger a nuestros usuarios para que no utilicen redes vulnerables, por lo que los ataques de intermediario están fuera de nuestro alcance.
• Falta de buenas prácticas en la configuración SSL/TLS sin prueba de concepto/demostración de una vulnerabilidad.
• Problemas de suplantación de contenido e inyección de texto sin mostrar un vector de ataque/sin poder modificar HTML/CSS
• Faltan las banderas HttpOnly o Secure en las cookies no relacionadas con la autenticación o las sesiones
• Mala configuración de bases de datos o proxies inversos
• Política de correo electrónico DMARC, SPF y DKIM
  • Creemos que nuestras configuraciones DMARC, SPF y DKIM equilibran adecuadamente la seguridad con los problemas de entregabilidad del correo electrónico.