Política de comunicação e divulgação de vulnerabilidades

Pode comunicar problemas enviando uma mensagem de correio eletrónico para a equipa de segurança do DHIS2 security@dhis2.org.
O nosso objetivo é responder-lhe no prazo de 10 dias úteis.
Pedimos-lhe que:

• Inclui apenas um breve resumo da questão e fornece-nos os teus dados de contacto para que possamos discutir a questão num canal seguro.

Os relatórios de vulnerabilidade devem incluir instruções escritas claras para reproduzir a vulnerabilidade.
Cada relatório deve conter o seguinte:

• Versão DHIS2
• Número de construção do DHIS2
• Descrição do problema
• Porque consideras que é uma vulnerabilidade de segurança
• Passos para reproduzir
• Pretendes ser acreditado (SIM/NÃO)

NÃO comuniques o problema nas listas de correio públicas e NÃO comuniques o problema através do sistema Jira, uma vez que estes métodos estão disponíveis para membros fora da equipa de segurança.
A investigação e correção do problema comunicado pode demorar algum tempo, tal como a implementação de versões actualizadas pelos nossos utilizadores.
Por isso, pedimos-te que te abstenhas de partilhar vulnerabilidades publicamente até acreditarmos que é seguro fazê-lo.
Atualmente não oferecemos recompensas monetárias por relatórios de bugs, mas temos todo o gosto em dar crédito aos relatores no nosso hall da fama e nos registos de alterações.

• Quaisquer instâncias públicas ou privadas alojadas do servidor DHIS2 não listadas acima.
• Versões não suportadas do DHIS2
  • Apenas suportamos e fornecemos correcções de segurança para as últimas 3 versões do DHIS2
• Engenharia social, phishing ou ataques físicos contra os nossos funcionários, utilizadores ou infra-estruturas
• Aplicações de terceiros criadas na plataforma DHIS2
  • Por “terceiros” entendemos as aplicações que não foram publicadas ou desenvolvidas pela Universidade de Oslo
• Vulnerabilidades nas dependências a montante
• Falta de limitação de taxas
  • Os relatórios relativos a ataques DoS volumétricos estão fora do âmbito.
• Vulnerabilidades devido a versões desactualizadas do browser
  • As vulnerabilidades que afectam versões modernas de browsers desactualizados estão fora do âmbito, tal como as causadas por extensões de browsers.
• Ataques MITM
  • Não podemos proteger os nossos utilizadores da utilização de redes vulneráveis, pelo que os ataques man-in-the-middle estão fora do âmbito.
• Falta de boas práticas na configuração SSL/TLS sem prova de conceito/demonstração de uma vulnerabilidade.
• Problemas de falsificação de conteúdos e injeção de texto sem mostrar um vetor de ataque/sem poder modificar HTML/CSS
• Falta de sinalizadores HttpOnly ou Secure em cookies não relacionados com autenticação ou sessões
• Configuração incorrecta de bases de dados ou proxies inversos
• Política de correio eletrónico DMARC, SPF e DKIM
  • Acreditamos que as nossas definições DMARC, SPF e DKIM equilibram adequadamente a segurança e as preocupações com a capacidade de entrega do correio eletrónico.