Jump to content

Wikimedia Blog/Drafts/Heartbleed/fi

From Meta, a Wikimedia project coordination wiki
This page is a translated version of the page Wikimedia Blog/Drafts/Heartbleed and the translation is 76% complete.
Outdated translations are marked like this.

This post has been published at https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/. You are welcome to add translations here.

Wikimedian vastaus Heartbleed-tietoturvahaavoittuvuuteen

Heartbleed-logo

7. huhtikuuta julkaistiin tieto laaja-alaisesta haavoittuvuudesta Internetin keskeisessä tietoturvakomponentissa (OpenSSL). Haavoittuvuus on nyt paikattu kaikissa Wikimedian wikeissä. Jos sinulla ei ole tunnusta Wikipediassa, sinun ei tarvitse tehdä mitään. Jos sinulla on tunnus missä tahansa Wikimedian wikissä, sinun täytyy kirjautua sisään kun käytät tunnusta seuraavan kerran.

The issue, called Heartbleed, would allow attackers to gain access to privileged information on any site running a vulnerable version of that software. Wikis hosted by the Wikimedia Foundation were potentially affected by this vulnerability for several hours after it was disclosed. However, we have no evidence of any actual compromise to our systems or our users' information, and because of the particular way our servers are configured, it would have been very difficult for an attacker to exploit the vulnerability in order to harvest users' wiki passwords.

Aloimme päivittämään järjestelmiämme korjatulla ohjelmistolla saatuamme tiedon haavoittuvuudesta. Sen jälkeen aloimme vaihtamaan SSL-sertifikaatteja ja päättämään kaikki aktiiviset istunnot. Tarkempi aikajana on alempana.

Kaikki sisäänkirjautuneet käyttäjät lähettävät salaisen tunnisteen jokaisessa sivustolle lähetetyssä pyynnössä. Vihamielinen käyttäjä voi esiintyä toisena käyttäjänä, mikäli hän saa toisen käyttäjän tunnisteen tietoonsa. Kaikkien tunnisteiden nollaus poistaa tämän mahdollisuuden yhdessä päivitetyn OpenSSL-ohjelmiston kanssa.

Suosittelemme salasanojen vaihtoa ennaltaehkäisevänä toimena, mutta emme pakota siihen. Ei ole näyttöä, että Wikimedia-säätiön käyttäjiä olisi ollut hyökkäyksen kohteena, mutta haluamme käyttäjiemme olevan mahdollisimman turvassa.

Kiitos ymmärryksestä.

Greg Grossmeier Wikimedian järjestelmäylläpitäjien ja alustatiimin puolesta

Wikimedian toimintojen aikajana

(UTC-aika)

7. huhtikuuta:

8. huhtikuuta:

9. huhtikuuta:

10. huhtikuuta:

Usein kysyttyjä kysymyksiä

(Tätä osiota laajennetaan tarpeen mukaan)

  • Miksi SSL-sertifikaattien "ei voimassa ennen"-päiväys ei muuttunut, kun ne korvattiin?
    Meidän SSL-sertifikaattien tarjoaja säilyttää alkuperäisen ”ei voimassa ennen” -päiväyksen (joskus virheellisesti nimellä ”myönnetty”) korvatuissa sertifikaateissa. Tämä on yleinen käytäntö. Lukuun ottamatta yllä aikajanassa linkitettyjen pem-tiedostojen tarkastamista, ainoa tapa todeta, että sertifikaatit on päivitetty on verrata uuden ja vanhan sertifikaatin sormenjälkeä.