Informar de una vulnerabilidad

Pandora FMS security disclosure policy

La principal función del Equipo de Seguridad de Pandora FMS es la de brindar ayuda y asesoramiento a Pandora FMS sobre temas de seguridad y coordinar la gestión de vulnerabilidades de seguridad.

Informar de una vulnerabilidad

Recomendamos encarecidamente que nos informe a nosotros primero de las posibles vulnerabilidades de seguridad, antes de revelarlas en un foro público. La dirección de correo electrónico principal para informar de cualquier vulnerabilidad o problema de seguridad es [email protected]. El uso de otras direcciones de contacto generales no proporcionará una gestión adecuada de los problemas de seguridad. Por lo que utilice solo esta dirección para informar sobre una vulnerabilidad de seguridad no divulgada.

Tenga en cuenta que los contactos de seguridad solo deben utilizarse para informar sobre vulnerabilidades de seguridad no reveladas en Pandora FMS y gestionar el proceso de reparación de dichas vulnerabilidades. No podemos aceptar informes de errores comunes o preguntas sobre la arquitectura de seguridad en esta dirección. Se ignorará todo correo enviado a estas direcciones que no esté relacionado con un problema de seguridad no revelado en Pandora FMS.

También tenga en cuenta que el equipo de seguridad gestiona las vulnerabilidades en Pandora FMS, no brinda soporte, servicios de consultoría, implementación ni desarrolla funcionalidades personalizadas. Todos los informes de vulnerabilidades deben enviarse únicamente a [email protected]

Envíe un correo electrónico de texto sin formato por cada vulnerabilidad que quiera notificar. Es posible que le pidamos que vuelva a enviar su informe si lo envía como un archivo adjunto de imagen, vídeo, HTML o PDF cuando se podría describir fácilmente con texto sin formato. No envíe un solo correo que contenga varios problemas a la vez.

Los envíos cifrados no son obligatorios ni recomendados, ya que nos llevará mucho más tiempo responder a estos informes. 

¿Cómo informar de un problema de seguridad?

La siguiente información será útil para el equipo de seguridad de Pandora FMS:

  • Fecha y hora en que identificó el fallo de seguridad.
  • Rango de versiones de Pandora FMS afectadas.
  • Tipo de problema de seguridad a informar, por ejemplo: XSS, CSRF, SQLi, RCE.
  • Componentes afectados, por ejemplo: Consola, Servidor, Agente, API…
  • Cualquier detalle que pueda proporcionar, por ejemplo, capturas de pantalla, grabaciones de pantalla, registros de transacciones http(s) y  POC exploits (no comparta ninguna evidencia a través de servicios de intercambio de archivos no autenticados y evite compartir información confidencial).
  • Instrucciones paso a paso para reproducir el problema, ya que es posible que no se pueda identificar fácilmente.

 

Información sobre la vulnerabilidad

La información sobre las vulnerabilidades publicadas de Pandora FMS generalmente se puede encontrar en las notas de las actualizaciones mensuales. Si no puede encontrar la información que busca en el sitio web del proyecto, pregunte en los foros. Los contactos de seguridad no deben utilizarse para hacer preguntas sobre :

  • cómo configurar el paquete de forma segura;
  • si una vulnerabilidad publicada aplica a versiones específicas de los paquetes de Pandora FMS que esté utilizando;
  • si una vulnerabilidad publicada aplica a la configuración de los paquetes de Pandora FMS que esté utilizando;
  • obtener más información sobre una vulnerabilidad publicada;
  • la disponibilidad de parches y/o nuevas versiones para abordar una vulnerabilidad publicada.

Nuestros foros públicos son el lugar para hacer tales preguntas. Cualquier pregunta enviada al equipo de seguridad de Pandora FMS será ignorada.

Gestión de vulnerabilidades

El proceso general para gestionar una nueva vulnerabilidad de seguridad es el siguiente. 
Nota: No se debe hacer pública información sobre la vulnerabilidad hasta que no se anuncie formalmente al final de este proceso. Eso significa, por ejemplo, que NO se debe crear un ticket en Github para rastrear el problema, ya que lo hará público. Además, los mensajes asociados con cualquier commit no deben hacer NINGUNA referencia a la naturaleza de seguridad del commit.

  1. La persona que encuentre el problema, y que informe de la vulnerabilidad, debe hacerlo en privado a [email protected]pandorafms.com.
  2. Los mensajes que no se relacionen con la notificación o la gestión de una vulnerabilidad de seguridad no revelada en Pandora FMS se ignorarán y no será necesario realizar ninguna otra acción.
  3. Si se informa a [email protected], el equipo de seguridad enviará el informe (sin acuse de recibo) a otros miembros del equipo de seguridad.
  4. El equipo del proyecto enviará un correo electrónico a quien haya informado originalmente para dar acuse de recibo del informe. 
  5. El equipo del proyecto investigará el informe y lo rechazará o lo aceptará.
  6. Si el informe es rechazado, el equipo del proyecto escribirá a quien ha informado para explicar el motivo. 
  7. Si se acepta el informe, el equipo del proyecto redactará un informe para hacerle saber que se acepta y que están trabajando en una solución.
  8. El equipo de seguridad asignará un número de caso de seguridad interno y uno o más tickets de desarrollo asignados al número de caso de seguridad. 
  9. El equipo de seguridad le pedirá a quien ha informado del problema un número CVE. 
  10. El equipo del proyecto proporcionará a quien haya informado del problema una copia de la corrección y un borrador del anuncio de vulnerabilidad para que comente. 
  11. El equipo de seguridad acordará una vez hecha la corrección, el anuncio y el calendario de publicación con quien haya informado del problema. El nivel de detalle a incluir en el informe es una cuestión de criterio. Generalmente, los informes deben contener suficiente información para permitir que se pueda evaluar el riesgo asociado con la vulnerabilidad para su sistema y nada más. Normalmente, no se incluyen los pasos para reproducir la vulnerabilidad.
  12. El equipo del proyecto confirmará la corrección y la incluirá en una actualización. 
  13. El equipo del proyecto anunciará su publicación. El anuncio de su publicación debe enviarse a través de los canales habituales (boletín, foros, sitio web).
  14. A los clientes con acuerdos de soporte válidos se les enviará por correo electrónico durante el período de tiempo en el que sea posible actualizar antes de que el problema se de a conocer al público.
  15. El equipo del proyecto anunciará la vulnerabilidad al público (incluida la actualización de CVE). El anuncio de la vulnerabilidad debe enviarse DESPUÉS del anuncio de actualización. La mayoría de las veces, el aviso público es al menos UN MES después del lanzamiento de la corrección, para dar tiempo suficiente a los usuarios y clientes a que actualicen el software.

La información se puede compartir con expertos en la materia (por ejemplo, compañeros de trabajo) a discreción del equipo de seguridad del proyecto, siempre que quede claro que la información no es para divulgación pública y que [email protected] debe dejarse en copia en cualquier comunicación relacionada con la vulnerabilidad.