维基媒体博客/草案/心脏出血漏洞

From Meta, a Wikimedia project coordination wiki
This page is a translated version of the page Wikimedia Blog/Drafts/Heartbleed and the translation is 85% complete.
Outdated translations are marked like this.

This post has been published at https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/. You are welcome to add translations here.

维基媒体基金会对于“心脏出血”(Heartbleed)安全漏洞的回应

心脏出血漏洞的标志

在4月7日,保护互联网安全的基础程序之一OpenSSL被曝出有一个影响广泛的安全漏洞。维基媒体基金会已经修复了所有维基媒体站点的漏洞。如果您仅仅是维基百科(Wikipedia)的读者并且没有创建过账号,那么这一漏洞不会对您造成影响。如果您是维基媒体项目的注册用户,那么您需要在下次使用账户时重新登录。

这个问题被命名为心脏出血漏洞,它允许网络攻击者从任何有此安全漏洞的网站上窃取被加密的信息。在此问题被揭露数小时之后,维基媒体基金会下的维基站点都受到了该威胁的潜在影响。然而,没有证据表明我们的系统和用户信息受到影响;并且由于我们配置服务器的特殊方式,攻击者也难以通过此漏洞来窃取用户的维基账户密码。

发现这个问题后,我们已经着手将系统软件升级至打上补丁后的版本。并且我们替换了面向用户的关键SSL证书并且重设了所有用户会话令牌。详细时间表请参见下文。

所有登录的用户在向网站发送请求时,都发送了一个秘密的会话令牌。如果一个有恶意的人能够截获该令牌,他们就能以其他用户的名义操作。重置所有用户的会话令牌,可以确保所有用户使用更新后的OpenSSL软件与我们服务器重新连接,从而阻止这一可能的攻击。

我们建议更换您的密码(这是一种标准的预防措施),但是我们目前不会强制所有用户更改密码。目前没有任何证据显示维基媒体基金会的用户遭受攻击,但是我们希望我们的所有用户能尽量安全。

感谢您的理解与耐心。

Greg Grossmeier,代表维基媒体基金会维护及平台团队。

维基媒体回应的时间表

(时间为UTC时间)

4月7日:

4月8日:

4月9日:

4月10日:

常见问题

(此章节在需要情况下会被扩充)

  • 在你们更换了SSL证书后,为什么你们的SSL证书的“生效日期”的具体时间没有更新?
    我们的SSL证书提供商不改变任何已更换过的证书的“生效日期”(有时被误称为“发行”日)。这不是一种罕见的做法。除了查看上文提到的对.pem文件的更改,另一种查看更改的方式是比对我们新旧证书的指纹。