Política de notificación y divulgación de vulnerabilidades

Puede informar de los problemas enviando un correo electrónico al equipo de seguridad de DHIS2 security@dhis2.org. Nuestro objetivo es responder en un plazo de 10 días laborables.

Te lo pedimos:

• Incluya sólo un breve resumen del problema y facilítenos sus datos de contacto para que podamos tratar el asunto más a fondo en un canal seguro.

Los informes sobre vulnerabilidades deben incluir instrucciones escritas claras para reproducir la vulnerabilidad. Cada informe debe contener lo siguiente

• Versión DHIS2
• Número de compilación de DHIS2
• Descripción de la cuestión
• ¿Por qué lo considera una vulnerabilidad de seguridad
• Pasos para reproducir
• Desea acreditarse (SÍ/NO)

Por favor, NO informe del problema en las listas de correo públicas y NO informe del problema a través del sistema Jira, ya que estos métodos están disponibles para miembros ajenos al equipo de seguridad.

Investigar y solucionar el problema notificado puede llevar tiempo, al igual que la implantación de versiones actualizadas por parte de nuestros usuarios. Por lo tanto, le pedimos que se abstenga de compartir vulnerabilidades públicamente hasta que creamos que es seguro hacerlo.

Actualmente no ofrecemos recompensas monetarias por los informes de errores, pero estaremos encantados de dar crédito a los informadores en nuestro salón de la fama y registros de cambios.

• Cualquier instancia pública o privada del servidor DHIS2 que no figure en la lista anterior.
• Versiones no compatibles de DHIS2
  • Sólo ofrecemos soporte y correcciones de seguridad para las 3 últimas versiones de DHIS2
• Ingeniería social, phishing o ataques físicos contra nuestros empleados, usuarios o infraestructuras.
• Aplicaciones de terceros creadas en la plataforma DHIS2
  • Por «terceros» entendemos aplicaciones que no han sido publicadas o desarrolladas por la Universidad de Oslo.
• Vulnerabilidades en las dependencias ascendentes
• Falta de limitación de la velocidad
  • Los informes relativos a ataques DoS volumétricos están fuera del ámbito de aplicación.
• Vulnerabilidades debidas a versiones no actualizadas de los navegadores
  • Las vulnerabilidades que afectan a versiones anticuadas de los navegadores modernos quedan fuera del ámbito de aplicación, al igual que las causadas por las extensiones de los navegadores.
• Ataques MITM
  • No podemos proteger a nuestros usuarios del uso de redes vulnerables, por lo que los ataques de intermediario quedan fuera de nuestro alcance.
• Falta de buenas prácticas en la configuración SSL/TLS sin prueba de concepto/demostración de una vulnerabilidad.
• Problemas de suplantación de contenido e inyección de texto sin mostrar un vector de ataque/sin poder modificar HTML/CSS.
• Faltan los indicadores HttpOnly o Secure en las cookies no relacionadas con la autenticación o las sesiones.
• Mala configuración de bases de datos o proxies inversos
• Política de correo electrónico DMARC, SPF y DKIM
  • Creemos que nuestras configuraciones DMARC, SPF y DKIM equilibran adecuadamente la seguridad con las preocupaciones sobre la entregabilidad del correo electrónico.