This page was last updated in 2023-04.

Bu proses dəyişdirilə bilər. Mövcud VRP üçün bu səhifəyə baxın.

Researchers: during your study and network testing, we ask that you refrain from the following: - Performing active exploits or Denial of Service attacks on the I2P network - Performing social engineering on I2P team and community members - Performing any physical or electronic attempts against I2P property and/or data centers

As I2P is an open-source community, many volunteers and development team members run their own I2P Sites as well as public (“non-private internet”) domains. These sites/servers are NOT in the scope of the vulnerability assessment / response process, only the underlying code of I2P is.

I. Təhlükəsizlik məsələləri üzrə təmas nöqtəsi

security (at) geti2p.net - GPG Key fingerprint = EA27 06D6 14F5 28DB 764B F47E CFCD C461 75E6 694A

II. Təhlükəsizlik tədbirlər qrupu

Echelon is the trusted security point-of-contact. He forwards emails to team members as appropriate.

III. Hadisəyə cavab

  1. Researcher submits report via: security (at) geti2p.net
  2. Cavab qrupu yararlılıq və/ və ya məlumat dəstinə əsaslanan konkret hesabata cavabdeh müdir təyin edir.
  3. In no more than 3 working days, Response Team should respond to researcher using only encrypted methods.
  4. Cavab meneceri hər hansı zəruri məlumatı təmin etmək üçün sorğu göndərir və təqdimatın həqiqətən zəiflik olduğunu təsdiqləyir.
    1. Təqdimatın zəif olduğu təsqilənirsə, davam edin.
    2. Zəif deyilsə:
      1. Cavab meneceri təqdimatın zəif olmadığına dair səbəbləri açıqlayır.
      2. Cavab meneceri müzakirəni zəruri hallarda ictimai Trac-da yeni və ya mövcud biletə keçirir.
  5. Zəifliyin səviyyəsini müəyyən etmə:
    HIGH
    Effekt şəbəkəsi bütöv bir şəbəkəni pozmaq potensialına malikdir və ya böyük fəlakət miqyasındadır.
    MEDIUM
    Affects individual routers, or must be carefully exploited.
    LOW
    Asan istifadə edilə bilməz.
  6. Zəiflik səviyyəsinə uyğun cavab verin:
    1. YÜKSƏK səviyyə veb səhifələrdə və xəbər lentində 3təsnifat iş günləri daxilində bildirilməlidir.
      1. Bildirişdə istifadəçilər üçün müvafiq addımlar göstərilməlidir.
      2. Bildirişə istismar yolunu təklif edən hər hansı məlumat daxil edilməməlidir.
      3. Sonuncu öncəkindən üstündür.
    2. ORTA və YÜKSƏK səviyyə Point Release tələb edəcək.
    3. AŞAĞI səviyyəyə növbəti müntəzəm buraxılışda baxılacaq.
  7. Cavab qrupu müvafiq yama(lar) tətbiq edir.
    1. Response Manager works on a patch LOCALLY, patches are shared by the response team via PGP-encrypted e-mail until such a time as it is safe to expose to the public.
    2. Yamalar tədqiqatçı tərəfindən nəzərdən keçirilir.
    3. Baxış zamanı İCTİMAİ ilə əlaqəli hər hansı məlumat ÖZƏL bölmə və ya onun öhdəlliklərinin təhlükəsizliyinə istinad etməməlidir.
    4. Zəiflik elanları hazırlanıb.
      1. Zəiflik səviyyəsini əlavə edin.
      2. Təsirlənən sistemləri/tətbiqetmələri daxil edin.
      3. Yamalar tətbiq oluna bilməzsə,(əgər varsa) həll yollarını daxil edin.
    5. Təqdimat tarixi müzakirə edilir.
  8. Təqdimat tarixində cavab qrupu yeniləməni yekunlaşdırmaq üçün işi yaradıcılarla koordinasiya edir.
    1. Cavab meneceri "düzəltmə bölməsi"ni magistral xəttə yayır.
    2. Cavab meneceri buraxılış qeydlərinə zəiflik elanı layihəsini daxil edir.
    3. Proceed with the Point or Regular Release. At this time, it is not possible to release an in-network update for only one operating system or architecture. In order that all affected products can be released as quickly as possible, the person responsible for that software should be able to perform necessary release processes in a timely manner. Importantly this should include consideration for package maintainers in Debian, Ubuntu and F-Droid.

IV. Buraxılışdan sonra açıqlama prosesi

  1. Cavab qrupunun III hissədəki bütün nöqtələri yerinə yetirmək üçün 90 günü var.
  2. III bölmədə hadisəyə cavab prosesi uğurla başa çatdıqda:
    1. Cavab meneceri tədqiqatçı ilə əlaqə qurur və onun kredit istəyib-istəmədiyini soruşur.
    2. Zəiflik elanı layihəsini yekunlaşdırın və aşağıdakıları daxil edin:
      1. Layihənin adı və URL.
      2. Təsirə məruz qalan versiyalar.
      3. Təsirə məruz qalmayan versiyalar (məsələn, son versiyada zəif kod tətbiq olundu və bu səbəbdən öncəki versiyalar təsirlənmədi).
      4. Versiyalar yoxlanmadı.
      5. Zəiflik növü və onun təsiri.
      6. Əldə edilmiş və ya tətbiq oluna bilən CVE-ID.
      7. Planlaşdırılmış, razılaşdırılmış təqdimat tarixi.
      8. Azaldıcı amillər (məsələn, zəiflik yalnız qeyri-standart quraşdırmalarda müşahidə olunur).
      9. Müvəqqəti həllər (isifadəçilər zəifliyə məruz qalmalarını azaltmaq üçün quraşdırma dəyişiklikləri edə bilər).
      10. Mümkündürsə, əsas müxbirə kredit verin.
    3. Vebdə və xəbər lentində yekunlaşdırılmış zəiflik elanının buraxılışı.
      1. If the vulnerability may be exploited while the network is being upgraded, delay the announcement until the vulnerable routers are upgraded.
      2. After the update is successful, write the announcement for the news feed, send it for translation, and release it.
      3. When translations come in, news operators should pull in the translations and update their feeds.
    5. YÜKSƏK səviyyə üçün, yekunlaşdırılmış zəiflik elanını tanınan göndəriş siyahılarına yayın:
      1. oss-security@lists.openwall.com
      2. bugtraq@securityfocus.com
    6. Mümkündürsə, yaradıcılar CVE-ID tələb edir.
      1. Düzeltməni tətbiq edən versiya, gələcək fiksasiyada da qeyd olunur və bura CVE-ID daxildir.
  3. III bölmədə hadisəyə cavab prosesi uğurla başa *çatmadıqda*:
    1. Cavab qrupu və yaradıcılar İİİ bölmədəki niyə/hansı nöqtələrin həll olunmadığını və gələcəkdə onları necə həll edə biləcəyini müzakirə etmək üçün IRC görüşünü təşkil edir.
    2. Hadisədən sonra yaradıcıların istənilən görüşü V bölmədəki bəndləri nəzərə almalıdır.
    3. Zəiflik haqqında məlumatın açıqlanması yaxud nə zaman açıqlanması ilə əlaqədar anlaşılmazlıq yaranarsa, cavab qrupu məsələni İRC vasitəsilə açıq müzakirə edərək, ortaq məxrəcə gəlməyə çalışacaq.
    4. Əgər vaxtında açıqlama verməyə dair konsensus (90gündən gec olmayaraq) əldə olunmursa, tədqiqatçı (90gündən sonra) zəifliyi ictimaiyyətə açıqlamaq hüququna sahibdir.

V. Hadisənin təhlili

  1. Kodbazasını ayırın
    1. Cavab qrupu və yaradıcılar işləmək üçün aşağıdakı məsələlərlə bağlı koordinasiya etməlidirlər:
      1. Siniflərin/ kitabxanaların/funksiyaların və s. problemli tətbiqi
      2. Tətbiqetmə/distro qablaşdırmaya diqqət edin və s.
      3. Operator/quraşdırma xətası və s.
  2. Təftiş
    1. Cavab qrupu və yaradıcılar işləmək üçün aşağıdakı məsələlərlə bağlı koordinasiya etməlidirlər:
      1. 1-ci bənddə qeyd edildiyi kimi problemli sahə(lər)in auditi.
      2. Daxili hesabatlar yaradın və gələcək arayış üçün saxlayın.
      3. Nəticələr həssas deyilsə, IRC və ya ictimai Trac vasitəsilə ictimaiyyətlə bölüşün.
  3. Cavab qrupunun İİİ bölümü bitirdikdən sonra V bölmənin bitməsini təmin etmək üçün 45 günü var.

VI. Qərarlar

Tədqiqatçı və cavab + inkişaf qrupu arasında istənilən əlavə suallar və ya hadisə(lər)lə bağlı qərarlar ictimai açıqlamadan sonra növbəti qaydada həll edilə bilər:

  1. Trac
  2. IRC
  3. Email
  4. Twitter

VII. Davamlı inkişaf

  1. Cavab qrupu və yaradıcılar əvvəlki illərin hadisələrini nəzərdən keçirmək üçün illik görüşlər keçirməlidirlər.
  2. Cavab qrupu və ya təyin edilmiş şəxs(lər) qısa təqdimat hazırlamalıdır, o cümlədən:
    1. Hadisələrin təsir etdiyi I2P sahələri.
    2. Hadisələrin istənilən şəbəkə kəsilməsi və ya (varsa) pul xərcləri.
    3. Hadisələrin qarşısını ala biləcək yollar (əgər varsa).
    4. Bu proses hadisələrlə mübarizədə nə dərəcədə səmərəli oldu.
  3. Təqdimatdan sonra cavab qrupu və yaradıcılar müzakirə etməlidirlər:
    1. Gələcək hadisələri azaltmaq üçün inkişaf proseslərinə potensial dəyişikliklər.
    2. Gələcək cavabları yaxşılaşdırmaq üçün bu prosesə potensial dəyişikliklər.