Blog Wikimedia/Konsep/Heartbleed

From Meta, a Wikimedia project coordination wiki
Jump to navigation Jump to search
This page is a translated version of the page Wikimedia Blog/Drafts/Heartbleed and the translation is 88% complete.

Outdated translations are marked like this.

This post has been published at https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/ . You are welcome to add translations here.

Other languages:
Bahasa Indonesia • ‎Bahasa Melayu • ‎British English • ‎Deutsch • ‎English • ‎Latina • ‎Nederlands • ‎Tiếng Việt • ‎Türkçe • ‎asturianu • ‎azərbaycanca • ‎dansk • ‎español • ‎français • ‎italiano • ‎magyar • ‎polski • ‎português • ‎português do Brasil • ‎suomi • ‎svenska • ‎Österreichisches Deutsch • ‎čeština • ‎русский • ‎татарча/tatarça • ‎українська • ‎ייִדיש • ‎עברית • ‎العربية • ‎فارسی • ‎مصرى • ‎ଓଡ଼ିଆ • ‎தமிழ் • ‎മലയാളം • ‎ไทย • ‎中文 • ‎日本語 • ‎한국어

Tanggapan Wikimedia mengenai kerentanan keamanan "Heartbleed"

Logo untuk bug Heartbleed

Pada tanggal 7 April, isu menyebar mengenai komponen utama dari keamanan internet (OpenSSL) diberitahukan. Kerentanan ini sudah diperbaiki di seluruh wiki milik Wikimedia. Bila Anda hanya membaca Wikipedia tanpa membuat akun pengguna, tidak ada yang dibutuhkan dari Anda. Bila Anda membuat akun pengguna di seluruh wiki milik Wikimedia, Anda harus re-login disaat Anda selanjutnya menggunakan akun pengguna Anda.

Isu utamanya, disebut Heartbleed, memperbolehkan penyerang mendapatkan akses ke informasi khusus di semua situs yang lemah terhadap perangkat lunak tersebut. Wiki yang di host oleh Yayasan Wikimedia memiliki potensial untuk terpengaruh dengan kelemahan ini selama beberapa jam setelah kerentanan ini diberitahukan. Biarpun begitu, kami tidak memiliki bukti bahwa ada ada masalah kepada system kami untuk informasi pengguna, dan dikarenakan server kami memiliki konfigurasi khusus sendiri, akanlah sangat sulit untuk penyerang mengeksploit kerentanan ini untuk mengambil password akun pengguna.

Setelah kami mengetahui adanya isu ini, kami memulai memutakhirkan semua system kami dengan versi patch dari software yang dipermasalahkan. Kami selanjutnya mengganti sertifikat pengguna SSL yang kritikal dengan me-reset ulang semua sesi token. Lihat semua garis waktu respon dibawah.

Semua pengguna yang log-in menerima sesi token rahasia dengan setiap permintaan ke situs. Bila ada orang denga maksud buruk mampu menangkap token tersebut, mereka dapat berpura pura meniru pengguna lain. Me-reset ulang token untuk semua pengguna memiliki keuntungan membuat semua pengguna menghubungkan ulang ke server kami menggunakan perangkat lunak yang sudah dimutakhirkan dan sudah diperbaiki, alhasil menghapus kemungkinan penyerangan ini.

Kami merekomendasikan untuk mengganti password Anda untuk tindakan pencegahan, tetapi kami tidak bermaksud untuk memaksa penggantian password untuk semua pengguna. Sekali lagi, tidak ada bukti pengguna Yayasan Wikimedia menjadi sasaran untuk serangan ini, tetapi kami menginginkan semua pengguna untuk tetap dalam keadaan aman.

Terima kasih untuk kesabaran dan pengertiannya.

Greg Grossmeier, atas nama tim operasi WMF dan tim platform

Garis waktu respon Wikimedia

(waktu menggunakan UTC)

7 April:

8 April:

09:08: Kami mulai mengganti sertifikat SSL.

13:09: Kami mulai pemutakhiran paksa libssl di WMF Tool Labs.

16:45: Semua server wiki pengguna SSL telah memiliki sertifikat baru.

9 April:

13:54: sertifikat ssl ticket.wikimedia.org's telah diganti (paling akhir)

  • 16:44: mengirim surel ke semua pengguna ticket.wikimedia.org (OTRS) dan otrs-wiki.wikimedia.org untuk mengganti password mereka.
  • 22:33: me-log-out semua pengguna Bugzilla

10 April:

Pertanyan yang Sering Diajukan

(Bagian ini akan dikembangkan bila dibutuhkan.)

  • Mengapa "tidak valid sebelumnya" pada penanggalan sertifikat SSL diganti bila kamu (WMF) telah menggantinya?
    Penyedia sertifikat SSL kami tetap menggunakan tanggal "tidak valid sebelumnya" (terkadang salah menunjukan "tanggal" isu) di semua sertifikat yang telah diganti. Ini bukanlah praktek yang tidak umum. Selain dari melihat perubahan pada berkas .pem yang dihubungkan di garis waktu di atas, jalan lain untuk memverifikasi penggantian adalah membandingkan "sidik jari" pada sertifikat baru kami dengan sertifikat yang lama.