POLITIQUE DE DIVULGATION DES FMS DE PANDORA
Assurer la coordination du traitement des failles de sécurité

Pandora FMS

Signaler une faille

Nous vous encourageons vivement à nous signaler d’abord les failles de sécurité potentielles, avant de les divulguer sur un forum public.

L’adresse électronique principale pour signaler une vulnérabilité ou un problème de sécurité est [email protected]. L’utilisation d’autres adresses de contact à usage général ne permettra pas de gérer correctement les problèmes de sécurité ; veuillez utiliser cette adresse pour signaler les failles de sécurité non divulguées.

Veuillez noter que les contacts de sécurité ne doivent être utilisés que pour signaler des vulnérabilités de sécurité non divulguées dans le SGF Pandora et pour gérer le processus de correction de ces vulnérabilités. Nous n’acceptons pas les rapports de bogues réguliers ou les questions sur l’architecture de sécurité à ces adresses. Tout courrier envoyé à ces adresses qui ne concerne pas un problème de sécurité non divulgué dans le SGF Pandora sera ignoré.

Notez également que l’équipe de sécurité s’occupe des vulnérabilités de Pandora FMS et ne fournit pas d’assistance, de services de conseil, de déploiement ou de développement de fonctionnalités personnalisées. Tous les rapports de vulnérabilités doivent être envoyés à [email protected] uniquement. Veuillez envoyer un courriel en texte clair pour chaque vulnérabilité que vous signalez. Nous pouvons vous demander de soumettre à nouveau votre rapport si vous l’envoyez sous la forme d’une image, d’un film, d’une pièce jointe HTML ou PDF alors qu’il pourrait tout aussi bien être décrit en texte brut. Veuillez ne pas envoyer un seul courrier contenant plusieurs problèmes à la fois.

Les soumissions cryptées ne sont ni nécessaires ni préférables, car il nous faudra beaucoup plus de temps pour répondre à ces rapports.

Comment signaler un problème de sécurité ?

Les informations suivantes seront utiles à l’équipe de sécurité de Pandora FMS :

  • Date et heure auxquelles vous avez identifié le problème de sécurité.
  • Gamme de versions du Pandora FMS concernées.
  • Type de problème de sécurité que vous signalez, par exemple : XSS, CSRF, SQLi, RCE.
  • Composants affectés, par ex : Console, Serveur, Agent, API…
  • Tous les détails que vous pouvez fournir, par exemple des captures d’écran, des enregistrements d’écran, des journaux de transactions http(s), des exploits POC (veuillez ne pas partager de preuves via des services de partage de fichiers non authentifiés et évitez de partager des informations sensibles).
  • Instructions étape par étape pour reproduire le problème, car celui-ci peut ne pas être facilement identifiable.

Informations sur les vulnérabilités

Les informations sur les vulnérabilités publiées pour Pandora FMS se trouvent généralement dans les notes de mise à jour. Si vous ne trouvez pas l’information que vous cherchez sur le site web du projet, vous pouvez poser votre question sur les forums. Les contacts de sécurité ne doivent pas être utilisés pour poser des questions sur.

  • Comment configurer le paquet de manière sécurisée ;
  • Si une vulnérabilité publiée s’applique à des versions spécifiques des paquets Pandora FMS que vous utilisez ;
  • Si une vulnérabilité publiée s’applique à la configuration des paquets Pandora FMS que vous utilisez ;
  • Obtenir des informations supplémentaires sur une vulnérabilité publiée ;
  • La disponibilité de correctifs et/ou de nouvelles versions pour remédier à une vulnérabilité publiée.

Nos forums publics sont l’endroit où poser ces questions. Toute question de ce type envoyée à l’équipe de sécurité de Pandora FMS sera ignorée.

Traitement des vulnérabilités

La procédure type de traitement d’une nouvelle faille de sécurité est la suivante :

Note : Aucune information ne doit être rendue publique sur la vulnérabilité avant qu’elle ne soit officiellement annoncée à la fin de ce processus. Cela signifie, par exemple, qu’un problème Github ne doit PAS être créé pour suivre le problème, car cela rendrait le problème public. De même, les messages associés aux livraisons ne doivent faire AUCUNE référence à la nature sécuritaire de la livraison.

  • La personne qui découvre le problème, le rapporteur, signale la vulnérabilité en privé [email protected].
  • Les messages qui ne concernent pas le signalement ou la gestion d’une vulnérabilité de sécurité non divulguée dans Pandora FMS sont ignorés et aucune autre action n’est requise.
  • Si le rapport est envoyé à [email protected], l’équipe de sécurité le transmettra (sans en accuser réception) aux autres membres de l’équipe de sécurité.
  • L’équipe de projet envoie un courriel à l’auteur du rapport initial pour accuser réception du rapport.
  • L’équipe de projet examine le rapport et le rejette ou l’accepte.
  • Si le rapport est accepté, l’équipe de projet rédige un rapport pour l’informer qu’il est accepté et qu’elle travaille sur un correctif.
  • L’équipe de sécurité attribuera un numéro CVE au rapporteur. Pandora FMS est désormais un CVE CNA.
  • L’équipe de sécurité attribue un numéro de dossier de sécurité interne et un ou plusieurs tickets de développement au numéro de dossier de sécurité.
  • L’équipe de projet fournit au rapporteur une copie du correctif et un projet d’annonce de la vulnérabilité pour commentaires.
  • Si le rapport est rejeté, l’équipe de projet écrit à l’auteur du rapport pour lui en expliquer les raisons.
  • L’équipe de sécurité est d’accord avec le correctif, l’annonce et le calendrier de publication avec le journaliste. Le niveau de détail à inclure dans le rapport est une question de jugement. En général, les rapports doivent contenir suffisamment d’informations pour permettre aux personnes d’évaluer le risque associé à la vulnérabilité pour leur système, et pas plus.
  • Les étapes permettant de reproduire la vulnérabilité ne sont normalement pas incluses.
  • L’équipe de projet valide le correctif et l’inclut dans une version.
  • L’équipe de projet annonce la publication. L’annonce de la publication doit être envoyée aux canaux habituels (bulletin d’information, forums, site web).
  • Les clients disposant d’un contrat d’assistance valide reçoivent un courrier électronique leur indiquant qu’il est possible d’effectuer une mise à niveau avant que le problème ne soit connu du public.
  • L’équipe du projet annonce la vulnérabilité au public (y compris la mise à jour du CVE). L’annonce de la vulnérabilité doit être envoyée APRÈS l’annonce de la publication. La plupart du temps, l’avis public est envoyé au moins UN MOIS après la publication du correctif, afin de donner suffisamment de temps aux utilisateurs et aux clients pour mettre à jour le logiciel.

Les informations peuvent être partagées avec des experts du domaine (par exemple des collègues de votre employeur) à la discrétion de l’équipe de sécurité du projet, à condition qu’il soit clairement indiqué que les informations ne sont pas destinées à être divulguées au public et que [email protected] doit être mis en copie de toute communication concernant la vulnérabilité.