Вікімедіа Блог/Проекти/"Heartbleed"
This post has been published at https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/. You are welcome to add translations here.
Звернення Вікімедіа щодо вразливості безпеки через помилку "heartbleed"
7го квітня була розкрита широко поширена помилка у центральному компоненті інтернет-безпеки (OpenSSL). Вразливість вже виправлена на всіх проектах Вікімедії. Якщо ви тільки читаєте вікіпедію та не маєте аккаунта, від вас нічого не вимагається. Якщо ж ви маєте аккаунт на будь-якому проекті Вікімедії, ви повинні перелогінитись наступного разу, коли використовуватиме свій аккаунт.
Помилка, яка називається "Heartbleed", дозволяє хакерам отримати доступ до привілейованої інформації будь-якого сайту, який використовує вразливу версію цього програмного забезпечення. Проекти Вікімедії потенціально могли бути вражені цією помилкою кілька годин після того, як вона була знайдена. Однак, в нас немає жодних доказів шкоди нашим системам чи інформації користувачів. І тому, конфігурація наших серверів зробила використовування цієї помилки хакерами для викрадення паролів дуже складним.
Після того, як ми дізналися про помилку, ми почали оновлювати всі системи виправленою версією програмного забезпечення. Потім ми почали заміняти критичні SSL-сертифікати, що контактують з користувачами, та завершили всі сессії користувачів. Дивіться повну хронологію наших дій нижче.
Всі залогінені користувачі надсилають секретний сесійний токен на кожне звернення до сайту. Якщо нечесна людина перехопить цей токен, вона зможе представлятися іншими користувачами. Скидання цих токенів для всіх користувачів гарне тим, що змушує всіх користувачів перепідключатися до наших серверів використовуючи оновлену та виправлену версію програмного забезпечення OpenSSL, що унеможливлює потенціальні атаки.
Ми рекомендуємо змінити ваш пароль як стандартний профілактичний захід, але ми, на данний час, не збираємося змушувати це робити всіх користувачів. Повторюємо, не було ніяких доказів, що користувачі Вікімедії були атаковані, але ми хочемо щоб всі користувачі були настільки захищені, наскільки це можливо.
Дякуємо за розуміння та терпіння.
Грег Гроссмейер, від імені команд операцій та платформ Вікімедії.
Хронологія дій Вікімедії
(Час вказано в UTC)
7 квітня:
- 17:30: Помилка "Heartbleed" оприлюднюється.
- 21:48: Ubuntu випускає виправлену версію програмного забезпечення.
8 квітня:
- 04:03: Ми почали оновлювати бібліотеки SSL на всіх наших серверах, починаючи з найпріорітетніших.
- 09:08: Ми почали заміняти сертифікати SSL.
- 13:09: Ми примусово обновили бібліотеки SSL на WMF Tool Labs.
- 13:46: Оновлення бібліотек SSL на всіх публічних серверах завершено.
- 16:45: Всі сервери проектів Вікімедії, що контактують з користувачами, вже мають нові сертифікати.
- 23:08: Ми почали скидувати всі логінні токени користувачів (змушуючи користувачів перелогінитись використовуючи нові бібліотеки SSL та сертифікати).
9 квітня:
- 13:54: SSL сертифікат ticket.wikimedia.org замінений (останній)
- 16:44: Надсилаємо листи всім користувачам ticket.wikimedia.org (OTRS) та otrs-wiki.wikimedia.org з проханням змінити паролі.
- 22:33: Розлогінили усіх користувачів Bugzilla
10 квітня:
Поширені питання
(Цей розділ буде розширений при необхідності.)
- Чому "не дійсні до" дати на вашому сертифікаті SSL не змінились, якщо ви вже замінили його?
- Наш постачальник SSL-сертифікатів зберігає справжню "не дійсне до" дату (яку іноді плутають з "видається на" датою) на всіх замінених сертифікатах. Це не непоширена практика. Окрім вивчення змін в .pem-файлах, посилання на які є зверху в хронології, інший спосіб впевнитись, що заміна дійсно була - це порівняти відбитки пальців на новому та старому сертифікатах.