مدونة ويكيميديا/مسودات/نزيف القلب
This post has been published at https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/. You are welcome to add translations here.
حلول مؤسسة ويكميديا لمشكلة الثغرة الأمنية المعروفة بـ"نزيف القلب" "Heartbleed"
في السابع من أبريل، تم اكتشاف ثغرة في أحد البرامج المركزية للنظام الأمني للإنترنت المسمى برنامج (أوبن إس إس إل OpenSSL). وقد تم اصلاح هذه الثغرة في كل مشاريع ويكيميديا. إذا كنت تستخدم ويكيبيديا بدون إنشاء حساب، فلا حاجة لعمل أي شيء، أما إذا كان لديك حساب في أي من مشاريع ويكيميديا، فإنك ستحتاج إلى إعادة تسجيل الدخول إلى حسابك في المرة القادمة.
ستتيح هذه الثغرة المروفة باسم " نزيف القلب" "Heartbleed" للمهاجمين الوصول إلى بيانات حساسة على أي موقع يستخدم نسخة ضعيفة من برنامج "OpenSSL", وقد تأثرت مشاريع ويكي التي تستضيفها مؤسسة ويكيميديا بهذه الثغرة لعدة ساعات بعد اكتشافها. ولكن ليس لدينا أي دليل عن وجود خطورة حقيقية على أنظمتنا أو بيانات المستخدمين، وبسبب طريقة الإعدادات الخاصة المتبعة في خوادمنا، فإنه من الصعوبة بمكان على المهاجمين استغلال هذه الثغرة لغرض الحصول على كلمات مرور المستخدمين.
من بعد مسألة هذه البيئه ، بدأنا في تطوير جميع انظمتنا مع الاصدارات مصححه من البرنامج في السؤال ، بدأنا في حل شهادات SSL اللتي تواجه المستخدم في الاوقات الحرجه وإعادة جميع الرموز في جلسة عمل المستخدم ، انظر الى الجدول الزمني الكامل لردنا ادناه .
جميع المستخدمين المسجلين ارسال عربون جلسة سرية مع كل طلب للموقع . اذا كان الشخص لديه القدرة على اعتراض في الرمزية ، فإنها يمكن انتحال المستخدمين الآخرين . إعادة تعيين الرموز لكافة المستخدمين له فائدة من اتخاذ كافة المستخدمين لإعادة الاتصال لخدماتنا باستخدام الاصدار المحدث والثابت من البرنامج ، وبالتالي إزالة هذا الهجوم المحتمل .
نوصي بتغيير الرقم السري الخاص بك كإجرائات امنية و وقائية ، لكننا لا ننوي حاليا لفرض تغيير الرقم السري لجميع المستخدمين . مرة اخرى ، لم هناك أي دليل على ان مستخدمي موؤسسة ويكيميديا استهتدفتهم هذا الهجوم ، لكننا نريد من جميع مستخدميننا في مكان امن .
شكراً لكم على تفهمكم وصبركم .
جريج جروسمير, نيابة عن وحدة عمليات (WMF) وفرق المنصة.
الجدول الزمني للاستجابة الويكيبيديا .
الأوقات هي في UTC
7 أبريل:
- ترجمة:Wikimedia Blog/Drafts/Heartbleed/13/ar
- ترجمة:Wikimedia Blog/Drafts/Heartbleed/14/ar
8 أبريل:
- ترجمة:Wikimedia Blog/Drafts/Heartbleed/16/ar
- 09:08: [$رابط استبدال شهادات SSL.]
- ترجمة:Wikimedia Blog/Drafts/Heartbleed/18/ar
- 13:46: The upgrade of libssl on all public servers is complete.
- 16:45: All Wikimedia wiki user-facing SSL servers have new certificates in place.
- 23:08: We begin resetting user login tokens (forcing users to re-login using new libssl and certificates).
9 أبريل:
- 13:54: ticket.wikimedia.org's ssl certificate is replaced (the last one)
- 16:44: Email to all users of ticket.wikimedia.org (OTRS) and otrs-wiki.wikimedia.org to change their passwords.
- 22:33: Logged out all Bugzilla users
10 أبريل:
Frequently Asked Questions
(This section will be expanded as needed.)
- Why hasn't the "not valid before" date on your SSL certificate changed if you have already replaced it?
- Our SSL certificate provider keeps the original "not valid before" date (sometimes incorrectly referred to as an "issued on" date) in any replaced certificates. This is not an uncommon practice. Aside from looking at the change to the .pem files linked above in the Timeline, the other way of verifying that the replacement took place is to compare the fingerprint of our new certificate with our previous one.