Wikimedia Blog/Drafts/Heartbleed/fi

From Meta, a Wikimedia project coordination wiki
Jump to navigation Jump to search
This page is a translated version of the page Wikimedia Blog/Drafts/Heartbleed and the translation is 78% complete.

Outdated translations are marked like this.

This post has been published at https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/ . You are welcome to add translations here.

Other languages:
Bahasa Indonesia • ‎Bahasa Melayu • ‎British English • ‎Deutsch • ‎English • ‎Latina • ‎Nederlands • ‎Tiếng Việt • ‎Türkçe • ‎asturianu • ‎azərbaycanca • ‎dansk • ‎español • ‎français • ‎italiano • ‎magyar • ‎polski • ‎português • ‎português do Brasil • ‎suomi • ‎svenska • ‎Österreichisches Deutsch • ‎čeština • ‎русский • ‎татарча/tatarça • ‎українська • ‎ייִדיש • ‎עברית • ‎العربية • ‎فارسی • ‎مصرى • ‎ଓଡ଼ିଆ • ‎தமிழ் • ‎മലയാളം • ‎ไทย • ‎中文 • ‎日本語 • ‎한국어

Wikimedian vastaus Heartbleed-tietoturvahaavoittuvuuteen

7. huhtikuuta julkaistiin tieto laaja-alaisesta haavoittuvuudesta Internetin keskeisessä tietoturvakomponentissa (OpenSSL). Haavoittuvuus on nyt paikattu kaikissa Wikimedian wikeissä. Jos sinulla ei ole tunnusta Wikipediassa, sinun ei tarvitse tehdä mitään. Jos sinulla on tunnus missä tahansa Wikimedian wikissä, sinun täytyy kirjautua sisään kun käytät tunnusta seuraavan kerran.

The issue, called Heartbleed, would allow attackers to gain access to privileged information on any site running a vulnerable version of that software. Wikis hosted by the Wikimedia Foundation were potentially affected by this vulnerability for several hours after it was disclosed. However, we have no evidence of any actual compromise to our systems or our users' information, and because of the particular way our servers are configured, it would have been very difficult for an attacker to exploit the vulnerability in order to harvest users' wiki passwords.

Aloimme päivittämään järjestelmiämme korjatulla ohjelmistolla saatuamme tiedon haavoittuvuudesta. Sen jälkeen aloimme vaihtamaan SSL-sertifikaatteja ja päättämään kaikki aktiiviset istunnot. Tarkempi aikajana on alempana.

Kaikki sisäänkirjautuneet käyttäjät lähettävät salaisen tunnisteen jokaisessa sivustolle lähetetyssä pyynnössä. Vihamielinen käyttäjä voi esiintyä toisena käyttäjänä, mikäli hän saa toisen käyttäjän tunnisteen tietoonsa. Kaikkien tunnisteiden nollaus poistaa tämän mahdollisuuden yhdessä päivitetyn OpenSSL-ohjelmiston kanssa.

Suosittelemme salasanojen vaihtoa ennaltaehkäisevänä toimena, mutta emme pakota siihen. Ei ole näyttöä, että Wikimedia-säätiön käyttäjiä olisi ollut hyökkäyksen kohteena, mutta haluamme käyttäjiemme olevan mahdollisimman turvassa.

Kiitos ymmärryksestä.

Greg Grossmeier Wikimedian järjestelmäylläpitäjien ja alustatiimin puolesta

Wikimedian toimintojen aikajana

(UTC-aika)

7. huhtikuuta:

8. huhtikuuta:

09.08: Aloitimme SSL-sertifikaattien korvaamisen.

13.09: libssl-kirjaston päivitys pakotettiin Wikimedian Tool Labsissa.

16.45: Kaikki Wikimedian julkiset SSL-palvelimet käyttävät nyt uusia sertifikaatteja.

9. huhtikuuta:

13.54: ticket.wikimedia.orgin ssl-sertifikaatti korvattiin (viimeinen)

  • 16.44: Kaikille ticket.wikimedia.orgin (OTRS) ja otrs-wiki.wikimedia.orgin käyttäjille lähetettiin sähköposti, jossa kehotettiin vaihtamaan salasanat.
  • 22:33: Logged out all Bugzilla users

10. huhtikuuta:

Usein kysyttyjä kysymyksiä

(Tätä osiota laajennetaan tarpeen mukaan)

  • Miksi SSL-sertifikaattien "ei voimassa ennen"-päiväys ei muuttunut, kun ne korvattiin?
    Meidän SSL-sertifikaattien tarjoaja säilyttää alkuperäisen ”ei voimassa ennen” -päiväyksen (joskus virheellisesti nimellä ”myönnetty”) korvatuissa sertifikaateissa. Tämä on yleinen käytäntö. Lukuun ottamatta yllä aikajanassa linkitettyjen pem-tiedostojen tarkastamista, ainoa tapa todeta, että sertifikaatit on päivitetty on verrata uuden ja vanhan sertifikaatin sormenjälkeä.