Politique de signalement et de divulgation des vulnérabilités

Vous pouvez signaler des problèmes en envoyant un courriel à l’équipe de sécurité de DHIS2 security@dhis2.org. Nous nous efforçons de répondre dans un délai de 10 jours ouvrables.

Nous vous demandons de

• N’incluez qu’un bref résumé du problème et fournissez-nous vos coordonnées afin que nous puissions en discuter de manière plus approfondie par le biais d’un canal sécurisé.

Les rapports sur les vulnérabilités doivent contenir des instructions écrites claires permettant de reproduire la vulnérabilité. Chaque rapport doit contenir les éléments suivants :

• Version DHIS2
• Numéro de construction du DHIS2
• Description du problème
• Pourquoi considérez-vous qu’il s’agit d’une faille de sécurité ?
• Étapes de la reproduction
• Souhaitez-vous être accrédité (OUI/NON)

Veuillez NE PAS signaler le problème sur les listes de diffusion publiques et NE PAS signaler le problème via le système Jira, car ces méthodes sont accessibles aux membres extérieurs à l’équipe de sécurité.

L’examen et la résolution du problème signalé peuvent prendre du temps, tout comme le déploiement des versions mises à jour par nos utilisateurs. Nous vous demandons donc de vous abstenir de communiquer publiquement des vulnérabilités jusqu’à ce que nous estimions qu’il est possible de le faire en toute sécurité.

Nous n’offrons pas actuellement de récompenses monétaires pour les rapports de bogues, mais nous sommes heureux de créditer les rapporteurs dans notre  » hall of fame » et nos journaux de modifications.

• Toute instance publique ou privée hébergée du serveur DHIS2 qui ne figure pas dans la liste ci-dessus.
• Versions non prises en charge de DHIS2
  • Nous ne supportons et ne fournissons des correctifs de sécurité que pour les 3 dernières versions de DHIS2.
• l’ingénierie sociale, le phishing ou les attaques physiques contre nos employés, nos utilisateurs ou notre infrastructure
• Applications tierces construites sur la plateforme DHIS2
  • Par « tiers », nous entendons les applications qui n’ont pas été publiées ou développées par l’Université d’Oslo.
• Vulnérabilités dans les dépendances en amont
• Absence de limitation des taux
  • Les rapports concernant les attaques volumétriques par déni de service sont hors sujet.
• Vulnérabilités dues à des versions obsolètes de navigateurs
  • Les vulnérabilités affectant les versions obsolètes des navigateurs modernes sont hors de portée, tout comme celles causées par les extensions de navigateurs.
• Attaques MITM
  • Nous ne pouvons pas empêcher nos utilisateurs d’utiliser des réseaux vulnérables, et les attaques de type « man-in-the-middle » sont donc hors de portée.
• Absence de bonnes pratiques dans la configuration SSL/TLS sans preuve de concept/démonstration d’une vulnérabilité.
• Problèmes d’usurpation de contenu et d’injection de texte sans montrer de vecteur d’attaque/sans pouvoir modifier HTML/CSS
• Absence des indicateurs HttpOnly ou Secure sur les cookies non liés à l’authentification ou aux sessions
• Mauvaise configuration des bases de données ou des serveurs mandataires (reverse proxies)
• Politique en matière de courrier électronique DMARC, SPF et DKIM
  • Nous pensons que nos paramètres DMARC, SPF et DKIM permettent d’équilibrer de manière appropriée la sécurité et les problèmes de délivrabilité du courrier électronique.