Wikimedia Blog/Drafts/Heartbleed

Am 7. April wurde ein schwerwiegender Fehler in einem zentralen Baustein der Internet-Sicherheit (OpenSSL) veröffentlicht. Der Fehler wurde nun auf allen Wikimedia-Wikis behoben. Wenn du lediglich Wikipedia ohne ein Benutzerkonto liest, musst du nichts weiter tun. Wenn du ein Benutzerkonto bei irgendeinem Wikimedia-Wiki hast, musst du dich erneut anmelden, bevor du es wieder benutzen kannst.

Der Fehler, der Heartbleed genannt wird, erlaubte es Angreifern, auf privilegierte Informationen auf jeder beliebigen Webseite zuzugreifen, die die vom Fehler betroffene Versionen dieser Software verwendeten. Wikis, die von der Wikimedia Foundation betrieben werden, waren möglicherweise über mehrere Stunden nach Veröffentlichung der Sicherheitslücke davon betroffen. Allerdings haben wir keine Hinweise darauf, dass unsere Systeme tatsächlich angegriffen wurden, und die Konfiguration unserer Server sollte es Angreifern erschwert haben, durch die Sicherheitslücke Passwörter von Benutzern zu entwenden.

Nachdem wir auf die Sicherheitslücke aufmerksam gemacht wurden, begannen wir damit, all unsere Systeme mit korrigierten Versionen der fraglichen Software auszustatten. Danach fingen wir an, kritische, für den Benutzer sichtbare SSL-Zertifikate auszutauschen und alle Benutzersitzungen zu beenden. (Der vollständige Verlauf ist weiter unten dokumentiert.)

Alle angemeldeten Benutzer senden mit jeder Anfrage an die Seite ein geheimes Session Token. Wenn böswillige Angreifer dieses Token abfangen würden, so könnten sie sich damit als andere Benutzer ausgeben. Dadurch, dass wir alle Session Tokens zurückgesetzt haben, ergibt sich der Vorteil, dass alle Benutzer eine neue Verbindung mit den Servern aufbauen, die die korrigierte Version von OpenSSL verwenden, was diesen potenziellen Angriff unmöglich macht.

Zur Sicherheit empfehlen wir allen Benutzern, ihr Passwort zu ändern, aber zur Zeit haben wir nicht vor, dies zu erzwingen. Nochmal: es gibt keine Hinweise darauf, dass Benutzer der Wikimedia Foundation durch diesen Angriff betroffen sind, aber wir wünschen uns größtmögliche Sicherheit für alle Benutzer.

Vielen Dank für dein Verständnis und deine Geduld.

Greg Grossmeier, im Namen der WMF Operations und Platform Teams

(Alle Zeiten in UTC)

7. April:

• 17:30: Der Heartbleed-Fehler wird veröffentlicht.
• 21:48: Ubuntu veröffentlicht korrigierte Versionen der betroffenen Software.

8. April:

• 04:03: Wir beginnen damit, libssl auf all unseren Servern zu aktualisieren, beginnend mit höher priorisierten Maschinen.
• 09:08: Wir fangen an, SSL-Zertifikate zu ersetzen.
• 13:09: Wir erzwingen eine libssl-Aktualisierung auf WMF Tool Labs.
• 13:46: Die Aktualisierung von libssl auf allen öffentlichen Servern ist abgeschlossen.
• 16:45: Alle Wikimedia-Wiki-SSL-Server verwenden neue Zertifikate.
• 23:08: Wir beginnen, Benutzersitzungen zu beenden (was Benutzer dazu zwingt, sich mit neuem libssl und neuen Zertifikaten anzumelden).

9. April:

• 13:54: Das SSL-Zertifikat von ticket.wikimedia.org wird ersetzt (das letzte)
• 16:44: An alle Benutzer von ticket.wikimedia.org (OTRS) und otrs-wiki.wikimedia.org werden E-Mails verschickt mit der Empfehlung, ihre Passwörter zu ändern.
• 22:33: Ausloggen aller Bugzilla-User

10. April:

• 08:42: Wir beenden alle Benutzersitzungen bei Bugzilla (bugzilla.wikimedia.org).

(Dieser Abschnitt wird bei Bedarf erweitert.)

• Warum wurde das „nicht gültig vor“-Datum des SSL-Zertifikats nicht geändert, als es ersetzt wurde?

  Der Aussteller unserer SSL-Zertifikate behält das „nicht gültig vor“-Datum (das manchmal auch fälschlich als „ausgestellt am“-Datum verstanden wird) in allen ersetzten Zertifikaten bei. Dies ist nicht ungewöhnlich. Um zu überprüfen, dass der Wechsel stattgefunden hat, kannst du die Änderung an den .pem-Dateien oben im Verlauf nachvollziehen oder den Fingerabdruck des neuen Zertifikats mit dem des alten vergleichen.