Wikimedia Blog/Drafts/Heartbleed/sv

This page is a translated version of the page Wikimedia Blog/Drafts/Heartbleed and the translation is 64% complete.

This post has been published at https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/. You are welcome to add translations here.

Wikimedias åtgärder angående säkerhetsrisken "Heartbleed"

 
Logotyp för Heartbleed-buggen

Den 7 april avslöjades ett utbrett problem i en central del av säkerheten på Internet (OpenSSL). Sårbarheten har nu åtgärdats på alla Wikimedias wiki-projekt. Om du bara läser Wikipedia utan att skapa ett konto behövs ingen åtgärd av dig. Om du däremot har ett användarkonto på någon av Wikimedias wikier måste du logga in igen nästa gång du använder ditt konto.

Säkerhetsrisken, som kallas Heartbleed, gjorde det möjligt för angripare att få tillgång till konfidentiell information på en webbplats som använder en sårbar version av denna programvara. Wikimedia Foundations wikier kunde i teorin påverkas av denna sårbarhet i flera timmar efter att den offentliggjorts. Däremot har vi inga tecken på en att någon verkligen försökt utnyttja sårbarheten för att bryta säkerheten i våra system eller våra användares information. På grund av det sätt våra servrar är konfigurerade skulle det ha varit mycket svårt för en angripare att utnyttja säkerhetsproblemet för att kunna ta del av användarnas wiki-lösenord.

After we were made aware of the issue, we began upgrading all of our systems with patched versions of the software in question. We then began replacing critical user-facing SSL certificates and resetting all user session tokens. See the full timeline of our response below.

Alla inloggade användare sänder en hemlig sessionstoken med varje förfrågan till webbplatsen. Om en illasinnad person kunde snappa upp denna token, skulle den personen kunna imitera den rättmätiga användarens identitet för servern. Genom att återställa alla tokens för alla användare kan vi säkerställa att alla användare ansluter till våra servrar med hjälp av den uppdaterade och fixade versionen av OpenSSL-mjukvara, vilket alltså i praktiken undanröjer risken för potentiella angrepp.

Som en försiktighetsåtgärd rekommenderar vi att du ändrar ditt lösenord, men vi har för närvarande inte för avsikt att driva igenom en obligatorisk ändring av lösenord för alla användare. Återigen, det har inte funnits några bevis för att Wikimedia Foundations användare varit måltavlor för denna attack, men vi vill att alla våra användare ska kunna vara så skyddade och säkra som möjligt.

Tack för din förståelse och tålamod.

Greg Grossmeier, på uppdrag av WMF Operations och Platform-grupperna

Tidslinje över Wikimedias åtgärder

(Tiderna är angivna enligt koordinerad universell tid, UTC)

7 april:

8 april:

9 april:

10 april:

Frågor och svar

(Detta avsnitt kommer att utökas efter behov.)

  • Hur kommer det sig att "inte giltigt före"-datum på era SSL-certifikat inte ändrats, trots att ni redan ersatt certifikatet?
    Leverantören av vårt SSL-certifikat leverantör behåller det ursprungliga "inte giltigt före"-datumet (ibland felaktigt kallat för "datum för utfärdande") i alla ersatta certifikat. Detta är inte ett ovanligt förfarande. Förutom att titta på förändringar i .pem-filerna som länkas till i tidslinjen ovan, kan man också kontrollera att de certifikaten bytts ut genom att jämföra de digitala fingeravtrycken i våra nya certifikat med de gamla.