维基媒体博客/草案/心脏出血漏洞
This post has been published at https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/. You are welcome to add translations here.
维基媒体基金会对于“心脏出血”(Heartbleed)安全漏洞的回应
在4月7日,保护互联网安全的基础程序之一OpenSSL被曝出有一个影响广泛的安全漏洞。维基媒体基金会已经修复了所有维基媒体站点的漏洞。如果您仅仅是维基百科(Wikipedia)的读者并且没有创建过账号,那么这一漏洞不会对您造成影响。如果您是维基媒体项目的注册用户,那么您需要在下次使用账户时重新登录。
这个问题被命名为心脏出血漏洞,它允许网络攻击者从任何有此安全漏洞的网站上窃取被加密的信息。在此问题被揭露数小时之后,维基媒体基金会下的维基站点都受到了该威胁的潜在影响。然而,没有证据表明我们的系统和用户信息受到影响;并且由于我们配置服务器的特殊方式,攻击者也难以通过此漏洞来窃取用户的维基账户密码。
发现这个问题后,我们已经着手将系统软件升级至打上补丁后的版本。并且我们替换了面向用户的关键SSL证书并且重设了所有用户会话令牌。详细时间表请参见下文。
所有登录的用户在向网站发送请求时,都发送了一个秘密的会话令牌。如果一个有恶意的人能够截获该令牌,他们就能以其他用户的名义操作。重置所有用户的会话令牌,可以确保所有用户使用更新后的OpenSSL软件与我们服务器重新连接,从而阻止这一可能的攻击。
我们建议更换您的密码(这是一种标准的预防措施),但是我们目前不会强制所有用户更改密码。目前没有任何证据显示维基媒体基金会的用户遭受攻击,但是我们希望我们的所有用户能尽量安全。
感谢您的理解与耐心。
Greg Grossmeier,代表维基媒体基金会维护及平台团队。
维基媒体回应的时间表
(时间为UTC时间)
4月7日:
- 17:30:Hearbeed(心脏出血)漏洞被公布于众。
- 21:48: Ubuntu 发布了软件的补丁.
4月8日:
- 04:03: 我们从最重要的机器开始,对所有服务器的libssl进行升级。
- 09:08: 我们开始更换 SSL 证书。
- 13:09: 我们强制升级WMF Tool Labs的libssl。
- 13:46: 完成所有公共服务器的libssl升级。
- 16:45: 所有维基媒体面向用户的 SSL 服务器拥有了新的证书。
- 23:08: 我们开始重设用户登录令牌(强制用户在新的libssl和证书环境下重新登录)。
4月9日:
- 13:54: 更换了ticket.wikimedia.org网站的 ssl 证书 (最后一个)
- 16:44: 发送邮件通知所有ticket.wikimedia.org (OTRS) 和 otrs-wiki.wikimedia.org 的用户去更换密码。
- 22:33: 注销所有Bugzilla用户
4月10日:
常见问题
(此章节在需要情况下会被扩充)
- 在你们更换了SSL证书后,为什么你们的SSL证书的“生效日期”的具体时间没有更新?
- 我们的SSL证书提供商不改变任何已更换过的证书的“生效日期”(有时被误称为“发行”日)。这不是一种罕见的做法。除了查看上文提到的对.pem文件的更改,另一种查看更改的方式是比对我们新旧证书的指纹。