วิกิมีเดีย บล็อก / ฉบับร่าง / Heartbleed

This post has been published at https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/. You are welcome to add translations here.

ในวันที่ 7 เมษายน ปัญหาที่แพร่หลายในองค์ประกอบที่สำคัญของการรักษาความปลอดภัยทางอินเทอร์เน็ต (OpenSSL) ถูกเปิดเผยช่องโหว่ขณะนี้ ได้รับการแก้ไขในทุกวิกิมีเดีย ถ้าคุณอ่านวิกิพีเดียได้โดยไม่ได้สร้างบัญชี จะไม่มีสิ่งร้องขอใดไปหาคุณ หากคุณมีบัญชีผู้ใช้บนวิกิพีเดียใด ๆ ก็ตา คุณจำเป็นต้องเข้าสู่ระบบใหม่อีกครั้ง ในครั้งต่อไปที่คุณจะใช้บัญชีของคุณ

ปัญหาที่เรียกว่าHeartbleedจะช่วยให้ผู้โจมตีสามารถเข้าถึงข้อมูลได้รับการยกเว้นในเว็บไซต์ใด ๆ ที่ใช้รุ่นที่มีช่องโหว่ของซอฟต์แวร์ที่ Wikis เป็นเจ้าภาพโดยมูลนิธิวิกิมีเดียได้รับผลกระทบที่อาจเกิดขึ้นโดยช่องโหว่นี้เป็นเวลาหลายชั่วโมงหลังจากที่มันถูกเปิดเผย แต่เรามีหลักฐานของการยอมความกันที่เกิดขึ้นจริงกับระบบของเราหรือของเราไม่มีผู้ใช้ข้อมูลและเนื่องจากวิธีการเฉพาะเซิร์ฟเวอร์ของเรามีการกำหนดค่า ก็จะได้รับยากมากสำหรับผู้โจมตีจะใช้ประโยชน์จากช่องโหว่ในการสั่งซื้อกับรหัสผ่านผู้ใช้ในวิกิพีเดีย

หลังจากที่เราได้ตระหนักถึงปัญหาจากการที่เราเริ่มการอัพเกรดทั้งหมดของระบบของเรากับรุ่นแพทช์ ของซอฟต์แวร์ในคำถาม จากนั้นเราจะเริ่มการแทนที่ใบรับรอง SSL ให้กับผู้ใช้ที่เริ่มเห็นความสำคัญของใบรับรองและการตั้งค่าสัญญาณเซสชันของผู้ใช้ทั้งหมด ดูเส้นเวลาที่เต็มรูปแบบของการตอบสนองของเราด้านล่าง

ผู้ใช้ที่เข้าสู่ระบบทุกคน จะส่งโทเค็นเซสชั่นลับที่มีการร้องขอไปยังเว็บไซต์ของแต่ละไซต์ ถ้าคนที่ไม่หวังดีก็สามารถที่จะสกัดกั้นโทเค็นที่พวกเขาจะปลอมตัวเป็นผู้ใช้อื่น ๆ ได้ จึงรีเซ็ตสัญญาณสำหรับผู้ใช้ทั้งหมดเพื่อประโยชน์ในการทำให้ผู้ใช้เชื่อมต่อกับเซิร์ฟเวอร์ของเราได้ใช้รุ่นปรับปรุงและมั่นคงของซอฟแวร์ OpenSSL ที่จะถอดการโจมตีที่อาจเกิดขึ้นนี้ได้

เราขอแนะนำให้เปลี่ยนรหัสผ่านของคุณให้เป็นมาตรการป้องกันมาตรฐาน แต่ปัจจุบันเราไม่ได้ตั้งใจที่จะบังคับใช้เปลี่ยนรหัสผ่านสำหรับผู้ใช้ทั้งหมด แต่ก็มีอีกครั้งที่ได้รับหลักฐานที่แสดงว่าผู้ใช้วิกิมีเดียเป็นเป้าหมายจากการโจมตีนี้ แต่เราต้องการให้ผู้ใช้ทั้งหมดของเรามีบัญชีเป็นที่ปลอดภัยที่สุด

ขอบคุณสำหรับความเข้าใจและความอดทนของคุณ

Greg Grossmeier ในนามของการดำเนินงาน WMF และทีมงานแพลทฟอร์ม

(เวลาที่อยู่ใน UTC)

7 เมษานยน

• 17:30: The Heartbleed bug ปรากฏสู่สาธารณะ
• 21:48: Ubuntu เผยแพร่รุ่นแพทช์ของซอฟต์แวร์.

8 เมษายน

• 04:03: พวกเราเริ่มต้นการอัพเกรด libssl ในทุกเซิร์ฟเวอร์ของเรา โดยเริ่มต้นด้วยเครื่องที่มีความสำคัญสูง.
• 09:08: เราจะเริ่มแทนที่ด้วยใบรับรอง SSL.
• 13:09: เราบังคับให้ปรับรุ่น libssl ใน WMF Tool Labs.
• 13:46: การปรับรุ่นของ libssl บนเซิร์ฟเวอร์ส่วนกลางทั้งหมดเสร็จสมบูรณ์แล้ว.
• 16:45: ทั้งหมดของวิกิมีเดีย ผู้ใช้หันมาใช้ เซิร์ฟเวอร์ SSL มีใบรับรองใหม่ในที่นี้.
• 23:08: เราเริ่มต้นการตั้งค่าสัญญาณการเข้าสู่ระบบของผู้ใช้ (การบังคับให้ผู้ใช้ที่จะกลับเข้าสู่ระบบโดยใช้ libssl ใหม่และใบรับรอง).

9 เมษายน

• 13:54: ใบรับรอง SSL ticket.wikimedia.orgได้ถูกแทนที่ (เป็นคนสุดท้าย)
• 16:44: ส่งอีเมล์ไปยังผู้ใช้ทั้งหมดของ ticket.wikimedia.org (ตรวจสอบแล้ว) และ otrs-wiki.wikimedia.orgจะเปลี่ยนรหัสผ่านของตนเอง
• 22:33: ผู้ใช้ทั้งหมดของ Bugzilla ออกจากระบบ

10 เมษายน

• 08:42: เราตั้งค่า Bugzilla ทั้งหมด (bugzilla.wikimedia.org) โทเค็นการเข้าสู่ระบบของผู้ใช้.

(ข้อมูลส่วนนี้จะมีการขยายตัวได้ตามต้องการ)

• ทำไมไม่ขึ้นว่า "ไม่สามารถใช้ได้ก่อน" วันที่ในใบรับรอง SSL ของคุณ จะเปลี่ยนแปลงได้หรือไม่ถ้าคุณได้เปลี่ยนไปแล้ว

  ผู้ให้บริการใบรับรอง SSL ของเราช่วยให้ต้นฉบับ "ไม่สามารถใช้ได้ก่อน" วันที่ (บางครั้งเรียกว่าไม่ถูกต้องเป็น "ออกเมื่อวันที่" ) ในใบรับรองแทนที่ใด ๆ นี้ไม่ได้เป็นเรื่องแปลกที่การปฏิบัติ นอกเหนือจากการมองไปที่การเปลี่ยนแปลงไฟล์ .pem เชื่อมโยงดังกล่าวในเส้นเวลา, วิธีอื่น ๆ ของการตรวจสอบว่าการเปลี่ยนที่เกิดขึ้นคือการเปรียบเทียบลายนิ้วมือของใบรับรองใหม่ของเรากับก่อนหน้านี้ของเรา