Política de comunicação e divulgação de vulnerabilidades

Pode comunicar problemas enviando uma mensagem de correio eletrónico para a equipa de segurança do DHIS2 security@dhis2.org. O nosso objetivo é responder no prazo de 10 dias úteis.

Pedimos-lhe que:

• Inclua apenas um breve resumo da questão e forneça-nos os seus dados de contacto para que possamos discutir a questão num canal seguro.

Os relatórios de vulnerabilidade devem incluir instruções escritas claras para reproduzir a vulnerabilidade. Cada relatório deve conter os seguintes elementos:

• Versão DHIS2
• Número de construção do DHIS2
• Descrição do problema
• Porque é que considera que se trata de uma vulnerabilidade de segurança?
• Passos para reproduzir
• Pretende ser acreditado (SIM/NÃO)

NÃO comunique o problema nas listas de correio públicas e NÃO comunique o problema através do sistema Jira, uma vez que estes métodos estão disponíveis para membros fora da equipa de segurança.

A investigação e a resolução do problema comunicado podem demorar algum tempo, tal como a implementação de versões actualizadas pelos nossos utilizadores. Por conseguinte, pedimos-lhe que se abstenha de partilhar vulnerabilidades publicamente até considerarmos que é seguro fazê-lo.

Atualmente não oferecemos recompensas monetárias por relatórios de bugs, mas temos todo o gosto em dar crédito aos relatores no nosso hall da fama e nos registos de alterações.

• Quaisquer instâncias públicas ou privadas alojadas do servidor DHIS2 não listadas acima.
• Versões não suportadas do DHIS2
  • Apenas suportamos e fornecemos correcções de segurança para as últimas 3 versões do DHIS2
• Engenharia social, phishing ou ataques físicos contra os nossos funcionários, utilizadores ou infra-estruturas
• Aplicações de terceiros construídas na plataforma DHIS2
  • Por “terceiros” entendemos as aplicações que não foram publicadas ou desenvolvidas pela Universidade de Oslo
• Vulnerabilidades nas dependências a montante
• Falta de limitação da taxa
  • Os relatórios sobre ataques DoS volumétricos estão fora do âmbito.
• Vulnerabilidades devido a versões desactualizadas do browser
  • As vulnerabilidades que afectam versões modernas e desactualizadas de browsers estão fora do âmbito, tal como as causadas por extensões de browsers.
• Ataques MITM
  • Não podemos proteger os nossos utilizadores da utilização de redes vulneráveis, pelo que os ataques man-in-the-middle estão fora do âmbito.
• Falta de boas práticas na configuração SSL/TLS sem prova de conceito/demonstração de uma vulnerabilidade.
• Problemas de falsificação de conteúdos e injeção de texto sem mostrar um vetor de ataque/sem poder modificar HTML/CSS
• Falta de sinalizadores HttpOnly ou Secure em cookies não relacionados com autenticação ou sessões
• Configuração incorrecta de bases de dados ou proxies inversos
• Política de correio eletrónico DMARC, SPF e DKIM
  • Acreditamos que as nossas definições DMARC, SPF e DKIM equilibram adequadamente a segurança e as preocupações com a capacidade de entrega do correio eletrónico.