https://www.odoo.com/zh_CN/security-report
负责任的披露政策
Odoo系统的安全性对我们来说非常重要(不仅因为我们在内部使用Odoo),我们将安全问题视为最高优先级。我们每天都在尽最大努力保护Odoo用户免受已知的安全威胁,我们欢迎我们的用户和贡献者发现的所有安全漏洞报告。
我们承诺以最大的关注处理漏洞报告,前提是遵守以下规则。
报告问题
请私下分享您的安全漏洞的详细信息,发送电子邮件至我们的安全团队。 确保包含尽可能多的信息,包括重现问题的详细步骤, 受影响的版本、预期结果和实际结果,以及任何其他信息 可能有助于我们更快、更有效地做出反应。我们倾向于基于_文本的错误描述以及概念验证脚本/漏洞利用_, 而不是长视频。
通过第三方网站报告漏洞是不可接受的,因为它 违反我们的政策条款。如果您正在寻找第三方奖励,我们可能会转发列表 分配给您的 CVE ID,以便他们可以验证您的奖励 - 但问题有 直接向我们报告。
请注意:我们收到的大多数安全报告对Odoo或Odoo在线的安全性几乎没有影响,我们最终必须拒绝它们。为避免在联系我们时出现令人失望的体验,请尝试进行概念验证攻击,并批判性地审视真正存在的风险。如果建议的攻击方案不切实际,您的报告可能会被拒绝。另外,请务必查看下面的不合格问题列表。
您可以通过匿名电子邮件帐户发送此报告,但如果您不希望我们透露您的身份,我们承诺不会透露您的身份。
您还可以使用上面链接的 GPG 密钥加密和验证进出我们安全团队的消息。
事件响应程序
- 您通过报告问题与我们的安全团队私下共享安全漏洞的详细信息(见上文)
- 我们确认您的提交并验证漏洞。我们的第一个答案通常在 48 小时内。
- 如果漏洞有效且在范围内,我们会请求一个 CVE ID,并在分配后立即提供给您。
- 我们与您合作进行更正。
- 我们撰写详细的安全公告,描述问题、影响、可能的解决方法和解决方案,并要求您查看
- 我们通过Odoo企业合同私下向利益相关者和客户广播安全咨询和更正
- 在公开披露之前,我们会给利益相关者和客户合理的延迟来应用更正(例如 2-3 周)
- 我们在公共渠道上披露和广播安全公告和更正。
规则
我们要求您始终遵守以下规则:
- 在您自己的部署、demo.odoo.com 或您自己的 Odoo Online 试用实例上专门测试漏洞
- 切勿尝试访问或修改不属于您的数据
- 切勿尝试执行拒绝服务攻击,或损害不属于您的服务的可靠性和完整性
- 请勿使用扫描程序或自动化工具来查找漏洞,因为它们的影响可能会违反以前的规则 (除非你能保证它们将被限制为小于 5 个请求/秒,并且不会违反任何其他规则)
- 切勿尝试针对任何人或任何系统的非技术攻击,例如社会工程、网络钓鱼或物理攻击
- 未经我们事先同意,请勿公开披露漏洞(另请参阅上面的披露程序)。在保密期内,您有权使用/测试我们提供的任何更正,只要不强调该更正,并且不以安全报告的形式发布(即在生产服务器上使用它就可以了)。
作为回报:
- 如果您遵守规则,我们不会对您提起法律诉讼
- 我们将处理您的报告并尽快回复
- 我们将尽快提供修复
- 我们将与利益相关者和客户努力合作,以帮助他们恢复系统的安全性
- 如果您不想因发现而获得荣誉,我们不会公开披露您的身份
报告什么?
符合条件的漏洞 - 报告!
- 公共 API 方法中的 SQL 注入向量
- 在支持的浏览器中工作的 XSS 漏洞
- 身份验证或会话管理中断,允许未经授权的访问
- 自定义项的沙盒中断,允许执行任意代码或访问系统资源
非合格漏洞 - 不报告!
XSS 漏洞仅在不受支持/已弃用的浏览器中工作,或需要放松安全设置
要求用户主动将恶意代码复制/粘贴到自己的浏览器窗口中的自 XSS 攻击
管理员的“XSS攻击”,例如通过文件上传(SVG,HTML,JS,...)或脚本注入。 管理员是网站管理员,安全限制不适用于他们,这是一项功能。
按设计工作的组件的速率限制/暴力破解/脚本(例如密码身份验证、密码重置等)
用户枚举(验证用户名是否存在的能力)。风险不大,如果不恶化用户体验,就无法预防。
文件路径泄露,不会带来重大风险,也不会使原本不可能的攻击成为可能
使用社交工程技巧滥用用户的点击劫持或网络钓鱼攻击,系统按预期工作
通过导航其他浏览器选项卡进行的选项卡性标记或其他网络钓鱼攻击
注销 CSRF(除非与登录 CSRF + 不可预防相结合,例如通过 cookie 抛出或 cookie jar 溢出,否则没有合理的攻击)
开放重定向器,这只是网络钓鱼的一个载体(查看我们的详细说明)
反射文件下载,另一种需要社会工程且不太实用的攻击技术
通过社交媒体链接或广告/分析请求泄露(包括敏感令牌)的引用 - 不太可能被点击,或在有效期内被这些主流公司利用!
更一般地说,依赖于物理或社会工程技术的攻击通常会被拒绝。
非永久性拒绝服务 (DoS) 和分布式 DoS (DDoS),通过持续的请求/数据包流维持资源耗尽(CPU/网络/内存等)
密码策略(长度、格式、字符类等)
缺少或部分验证电子邮件地址,或规避验证的方法
披露公共信息或不具有重大风险的信息(我们的下载存档中的目录列表是必需的功能! ;-))
反垃圾邮件政策和系统,如 DKIM、SPF 或 DMARC
缺少 HTTP 严格传输安全 (HSTS) 标头、HSTS 预加载和 HSTS 策略
弱密码或 SSL 部署详细信息。我们的基准测试在SSLLab的测试中是A级,但与用户浏览器的最大兼容性。我们目前正在逐步淘汰 www.odoo.com 上的TLS 1.0,已经为我们的客户托管服务完成了
SSRF 攻击,除非它们允许访问特殊的协议处理程序(例如 file://),或 可以在工作场景中使用,以绕过Odoo云托管上的访问控制(CFR部署文档))
访问控制规则的默认配置(例如 ACL 和记录规则)中存在的问题 - 请改为打开常规错误报告
包括接管用户电子邮件帐户的攻击场景
如果您有任何疑问,请先询问我们!
奖励
如果您报告了确认为严重的_新_安全问题(请参阅**“DO报告**”部分),我们将通过将您的姓名添加到本页右侧的Odoo安全名人堂来公开感谢您。