Esta página ha sido traducida de manera automática y puede contener errores
Política de notificación y divulgación de vulnerabilidades
El equipo de seguridad de DHIS2 participa en la divulgación responsable y agradece la colaboración con la comunidad en general sobre cuestiones de seguridad.
En esta página describimos cómo ponerte en contacto con el equipo de seguridad de DHIS2, qué puedes esperar cuando te pongas en contacto con nosotros, y qué esperamos nosotros de ti
Enlaces directos al contenido de la página
Cuestiones de información
Puedes informar de los problemas enviando un correo electrónico al equipo de seguridad de DHIS2 security@dhis2.org.
Nuestro objetivo es responder en un plazo de 10 días laborables.
Te pedimos que
- Incluye sólo un breve resumen del problema y facilítanos tus datos de contacto para que podamos seguir hablando del asunto por un canal seguro.
Los informes de vulnerabilidad deben incluir instrucciones escritas claras para reproducir la vulnerabilidad.
Cada informe debe contener lo siguiente
- Versión DHIS2
- Número de compilación de DHIS2
- Descripción de la cuestión
- ¿Por qué lo consideras una vulnerabilidad de seguridad?
- Pasos para reproducir
- ¿Quieres acreditarte (SÍ/NO)?
Por favor, NO informes del problema en las listas de correo públicas y NO informes del problema a través del sistema Jira, ya que estos métodos están disponibles para miembros ajenos al equipo de seguridad.
Investigar y solucionar el problema notificado puede llevar tiempo, al igual que el despliegue de versiones actualizadas por parte de nuestros usuarios.
Por lo tanto, te pedimos que te abstengas de compartir vulnerabilidades públicamente hasta que consideremos que es seguro hacerlo.
Actualmente no ofrecemos recompensas monetarias por los informes de errores, pero estaremos encantados de dar crédito a los informadores en nuestro salón de la fama y en los registros de cambios.
Alcance
Los siguientes objetivos están en el ámbito de aplicación:
- Tus propias instancias privadas del software DHIS2
- Nuestro software de código abierto
- dhis2.org
- apps.dhis2.org
- La aplicación Android actual y el SDK de Android
Fuera de alcance
- Cualquier instancia pública o privada alojada del servidor DHIS2 que no figure en la lista anterior.
- Versiones no compatibles de DHIS2
- Sólo damos soporte y proporcionamos correcciones de seguridad para las 3 últimas versiones de DHIS2
- Ingeniería social, phishing o ataques físicos contra nuestros empleados, usuarios o infraestructuras
- Aplicaciones de terceros creadas en la plataforma DHIS2
- Por «terceros» entendemos aplicaciones que no han sido publicadas ni desarrolladas por la Universidad de Oslo
- Vulnerabilidades en las dependencias ascendentes
- Falta de limitación de la tasa
- Los informes relativos a los ataques DoS volumétricos están fuera del alcance.
- Vulnerabilidades debidas a versiones de navegador obsoletas
- Las vulnerabilidades que afectan a las versiones obsoletas de los navegadores modernos están fuera del ámbito de aplicación, al igual que las causadas por las extensiones de los navegadores.
- Ataques MITM
- No podemos proteger a nuestros usuarios para que no utilicen redes vulnerables, por lo que los ataques de intermediario están fuera de nuestro alcance.
- Falta de buenas prácticas en la configuración SSL/TLS sin prueba de concepto/demostración de una vulnerabilidad.
- Problemas de suplantación de contenido e inyección de texto sin mostrar un vector de ataque/sin poder modificar HTML/CSS
- Faltan las banderas HttpOnly o Secure en las cookies no relacionadas con la autenticación o las sesiones
- Mala configuración de bases de datos o proxies inversos
- Política de correo electrónico DMARC, SPF y DKIM
- Creemos que nuestras configuraciones DMARC, SPF y DKIM equilibran adecuadamente la seguridad con los problemas de entregabilidad del correo electrónico.
Política de divulgación
El equipo de seguridad se compromete a divulgar públicamente los problemas de seguridad de forma responsable.
Esto implica que un problema puede estar embargado durante algún tiempo mientras se crea una solución o una solución provisional.
DHIS2 pide a los investigadores de seguridad participantes que
- Dar a DHIS2 un tiempo razonable para solucionar el problema comunicado antes de revelarlo a terceros
- No divulgar públicamente vulnerabilidades o detalles relacionados sin autorización explícita por escrito de DHIS2
- No incluir datos sensibles o identificativos en ninguna divulgación pública