Вікімедіа Блог/Проекти/"Heartbleed"

From Meta, a Wikimedia project coordination wiki
This page is a translated version of the page Wikimedia Blog/Drafts/Heartbleed and the translation is 97% complete.

This post has been published at https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/. You are welcome to add translations here.

Звернення Вікімедіа щодо вразливості безпеки через помилку "heartbleed"

Логотип помилки "Heartbleed"

7го квітня була розкрита широко поширена помилка у центральному компоненті інтернет-безпеки (OpenSSL). Вразливість вже виправлена на всіх проектах Вікімедії. Якщо ви тільки читаєте вікіпедію та не маєте аккаунта, від вас нічого не вимагається. Якщо ж ви маєте аккаунт на будь-якому проекті Вікімедії, ви повинні перелогінитись наступного разу, коли використовуватиме свій аккаунт.

Помилка, яка називається "Heartbleed", дозволяє хакерам отримати доступ до привілейованої інформації будь-якого сайту, який використовує вразливу версію цього програмного забезпечення. Проекти Вікімедії потенціально могли бути вражені цією помилкою кілька годин після того, як вона була знайдена. Однак, в нас немає жодних доказів шкоди нашим системам чи інформації користувачів. І тому, конфігурація наших серверів зробила використовування цієї помилки хакерами для викрадення паролів дуже складним.

Після того, як ми дізналися про помилку, ми почали оновлювати всі системи виправленою версією програмного забезпечення. Потім ми почали заміняти критичні SSL-сертифікати, що контактують з користувачами, та завершили всі сессії користувачів. Дивіться повну хронологію наших дій нижче.

Всі залогінені користувачі надсилають секретний сесійний токен на кожне звернення до сайту. Якщо нечесна людина перехопить цей токен, вона зможе представлятися іншими користувачами. Скидання цих токенів для всіх користувачів гарне тим, що змушує всіх користувачів перепідключатися до наших серверів використовуючи оновлену та виправлену версію програмного забезпечення OpenSSL, що унеможливлює потенціальні атаки.

Ми рекомендуємо змінити ваш пароль як стандартний профілактичний захід, але ми, на данний час, не збираємося змушувати це робити всіх користувачів. Повторюємо, не було ніяких доказів, що користувачі Вікімедії були атаковані, але ми хочемо щоб всі користувачі були настільки захищені, наскільки це можливо.

Дякуємо за розуміння та терпіння.

Грег Гроссмейер, від імені команд операцій та платформ Вікімедії.

Хронологія дій Вікімедії

(Час вказано в UTC)

7 квітня:

8 квітня:

9 квітня:

10 квітня:

Поширені питання

(Цей розділ буде розширений при необхідності.)

  • Чому "не дійсні до" дати на вашому сертифікаті SSL не змінились, якщо ви вже замінили його?
    Наш постачальник SSL-сертифікатів зберігає справжню "не дійсне до" дату (яку іноді плутають з "видається на" датою) на всіх замінених сертифікатах. Це не непоширена практика. Окрім вивчення змін в .pem-файлах, посилання на які є зверху в хронології, інший спосіб впевнитись, що заміна дійсно була - це порівняти відбитки пальців на новому та старому сертифікатах.