维基媒体博客/草案/心脏出血漏洞

From Meta, a Wikimedia project coordination wiki
Jump to navigation Jump to search
This page is a translated version of the page Wikimedia Blog/Drafts/Heartbleed and the translation is 88% complete.

Outdated translations are marked like this.

This post has been published at https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/ . You are welcome to add translations here.

Other languages:
Bahasa Indonesia • ‎Bahasa Melayu • ‎British English • ‎Deutsch • ‎English • ‎Latina • ‎Nederlands • ‎Tiếng Việt • ‎Türkçe • ‎asturianu • ‎azərbaycanca • ‎dansk • ‎español • ‎français • ‎italiano • ‎magyar • ‎polski • ‎português • ‎português do Brasil • ‎suomi • ‎svenska • ‎Österreichisches Deutsch • ‎čeština • ‎русский • ‎татарча/tatarça • ‎українська • ‎ייִדיש • ‎עברית • ‎العربية • ‎فارسی • ‎مصرى • ‎ଓଡ଼ିଆ • ‎தமிழ் • ‎മലയാളം • ‎ไทย • ‎中文 • ‎日本語 • ‎한국어

维基媒体基金会对于“心脏出血”(Heartbleed)安全漏洞的回应

在4月7日,保护互联网安全的基础程序之一OpenSSL被曝出有一个影响广泛的安全漏洞。维基媒体基金会已经修复了所有维基媒体站点的漏洞。如果您仅仅是维基百科(Wikipedia)的读者并且没有创建过账号,那么这一漏洞不会对您造成影响。如果您是维基媒体项目的注册用户,那么您需要在下次使用账户时重新登录。

这个问题被命名为心脏出血漏洞,它允许网络攻击者从任何有此安全漏洞的网站上窃取被加密的信息。在此问题被揭露数小时之后,维基媒体基金会下的维基站点都受到了该威胁的潜在影响。然而,没有证据表明我们的系统和用户信息受到影响;并且由于我们配置服务器的特殊方式,攻击者也难以通过此漏洞来窃取用户的维基账户密码。

发现这个问题后,我们已经着手将系统软件升级至打上补丁后的版本。并且我们替换了面向用户的关键SSL证书并且重设了所有用户会话令牌。详细时间表请参见下文。

所有登录的用户在向网站发送请求时,都发送了一个秘密的会话令牌。如果一个有恶意的人能够截获该令牌,他们就能以其他用户的名义操作。重置所有用户的会话令牌,可以确保所有用户使用更新后的OpenSSL软件与我们服务器重新连接,从而阻止这一可能的攻击。

我们建议更换您的密码(这是一种标准的预防措施),但是我们目前不会强制所有用户更改密码。目前没有任何证据显示维基媒体基金会的用户遭受攻击,但是我们希望我们的所有用户能尽量安全。

感谢您的理解与耐心。

Greg Grossmeier,代表维基媒体基金会维护及平台团队。

维基媒体回应的时间表

(时间为UTC时间)

4月7日:

4月8日:

09:08: 我们开始更换 SSL 证书。

13:09: 我们强制升级WMF Tool Labs的libssl。

16:45: 所有维基媒体面向用户的 SSL 服务器拥有了新的证书。

4月9日:

13:54: 更换了ticket.wikimedia.org网站的 ssl 证书 (最后一个)

  • 16:44: 发送邮件通知所有ticket.wikimedia.org (OTRS) 和 otrs-wiki.wikimedia.org 的用户去更换密码。
  • 22:33: 注销所有Bugzilla用户

4月10日:

常见问题

(此章节在需要情况下会被扩充)

  • 在你们更换了SSL证书后,为什么你们的SSL证书的“生效日期”的具体时间没有更新?
    我们的SSL证书提供商不改变任何已更换过的证书的“生效日期”(有时被误称为“发行”日)。这不是一种罕见的做法。除了查看上文提到的对.pem文件的更改,另一种查看更改的方式是比对我们新旧证书的指纹。