Joomla! 开发者网络™

下载
启动

Joomla! 安全打击小组

Joomla! 项目非常重视安全漏洞。因此,Joomla! 安全打击小组 (JSST) 负责监督项目的安全问题,并在处理这些问题时遵循一些特定的程序。

关于 JSST

Joomla Security Strike Team

在野外灭火中,术语“打击小组”用于描述一组类似的资源,这些资源用于特定目的 (https://en.wikipedia.org/wiki/Strike_Team)。JSST 被称为打击小组,因为它是一组开发者和安全专家,他们的任务是改善和管理 Joomla 的安全性。JSST 名单 可以在 Joomla! 志愿者门户网站 上找到。

如果您想加入该小组,请发送电子邮件至此电子邮件地址正在防止垃圾邮件机器人。您需要启用 JavaScript 才能查看它。并索取更多详细信息。 由于安全工作的敏感性,该小组的成员资格受到限制,但我们欢迎任何有资格的人与我们联系以了解成员资格。

报告程序

如果您发现可能存在漏洞,请首先向 JSST 报告。您可以通过以下电子邮件地址联系该小组:此电子邮件地址正在防止垃圾邮件机器人。您需要启用 JavaScript 才能查看它。或者使用此网站上的 联系表格

小组范围

JSST 的运作范围有限,只直接响应 Joomla! CMS 和框架的核心问题,以及处理有关 *.joomla.org 网站网络的报告。我们不直接处理 Joomla! 扩展或用户构建的网站的潜在漏洞,但是这些类别有一些可用的资源。 易受攻击的扩展列表 包含有关扩展中安全漏洞的报告,用户可以从 Joomla! 论坛 寻求有关其网站安全问题的帮助。

所需信息

为了能够完全响应潜在的安全问题,JSST 要求问题报告尽可能包含以下数据

  • 受漏洞影响的 Joomla! 软件(CMS 或框架)或网站 (*.joomla.org)(对于软件,请包括测试的版本)
  • 再现问题的方法
    • 对于 CMS 或框架,这应该是受影响包的新安装所需的操作
    • 对于 *.joomla.org 网站,这应该是触发漏洞所采取的步骤
  • 如果共享在其他地方报告的漏洞,请包括此报告的来源
  • 可能会提出一个补丁,该补丁将由 JSST 审查

响应处理

JSST 旨在确保所有问题都能得到及时处理,并确保小组与问题报告人之间进行清晰的沟通。因此,我们制定了以下指南来响应问题报告

  1. 在 24 小时内,每份报告都将得到确认
  2. 在 7 天内,每份报告都将得到进一步的回复,说明:
    1. 问题已关闭(以及原因)
    2. 问题仍在调查中;如果需要,将要求提供更多信息
  3. 在 21 天内,必须解决每份报告,除非有特殊情况需要更多时间

签名和加密邮件

我们维护着 一个 GPG 密钥 ,用于此电子邮件地址正在防止垃圾邮件机器人。您需要启用 JavaScript 才能查看它。 允许签名和加密通信。

目标

  1. 调查并响应 Joomla! CMS、框架和 joomla.org 网站中报告的漏洞。
  2. 在发布之前执行代码审查,以识别新的漏洞。
  3. 就安全问题提供公开存在。
  4. 帮助社区了解 Joomla! 安全性。

安全公告策略

  • 已验证的漏洞将在发布修复漏洞的版本后才公开发布。
  • 所有公告都将包含尽可能多的信息,但不会包含有关漏洞的分步说明。

公开响应策略

一直有关于 Joomla! 的文章。在许多情况下,这些文章(即使来自信誉良好的来源)也包含大量错误信息。

  • JSST 将与 营销团队 共同评估和处理有关安全问题的文章
    • 如果文章包含有关尚未修复的漏洞的有效信息,我们将要求发布者暂停该文章,直到我们能够解决问题
    • 如果文章包含无效信息,我们将说明哪些信息无效,并要求发布者修复或删除该文章
  • JSST 将乐意在发布者的要求下回答问题/验证任何与 Joomla! 安全相关的文章

安全发布策略

  • 严重和高级别漏洞会触发立即发布周期
    • Joomla! 项目可能会发布一份公告,指示计划的发布窗口,以便站点所有者为发布做好准备
  • 中等漏洞可能会触发发布周期,具体取决于具体问题
  • 低级和非常低级的漏洞(以及不会触发发布周期的中等漏洞)将包含在下一个计划的维护版本中
  • 所有安全版本都将附带一个(或多个)适当的 安全公告

问题信用

Joomla! 项目将适当地表彰负责任地向 JSST 公开安全问题的个人和/或组织。您可以指示您希望在有关漏洞的公告中如何被提及。我们更喜欢使用全名。如果您没有指定,我们将使用与收到报告的电子邮件地址关联的联系姓名。您也可以要求使用化名或隐瞒您的姓名。

漏洞威胁级别

根据 Joomla! 项目开发策略中的 安全策略,有两个主要因素影响漏洞的优先级或“威胁级别”

影响

级别 描述
严重 “0 天”攻击,以及网站控制被泄露的攻击(允许攻击者控制 网站)。
SQL 注入攻击、远程文件包含攻击以及其他会导致网站数据泄露的攻击媒介。
中等 XSS 攻击、写入 ACL 违规(在未被允许的情况下编辑或创建内容)。
读取 ACL 违规(在未被允许的情况下读取内容)。

严重程度

级别 描述 发布修复
严重 执行起来非常容易。不依赖于任何外部信息(真正的 0 天攻击)。 尽快
执行起来相对容易。可能依赖于容易获得的外部信息。 根据 oCERT 指南
中等 执行起来并不容易。可能依赖于敏感信息。 根据 oCERT 指南
执行起来很困难。依赖于敏感信息,或者需要特殊情况才能执行。 根据 oCERT 指南

注意:这些描述只是通用指南。将根据每个漏洞的潜在损害评估其等级。

受支持版本

JSST 将主动监控所有当前开发和支持的 Joomla! CMS 和框架版本。

当前活跃版本包括

  • Joomla! CMS - 3.x + 4.x
  • Joomla! 框架 - 1.x + 2.x