Wikimedia služba Blog/Návrhy/Heartbleed

This page is a translated version of the page Wikimedia Blog/Drafts/Heartbleed and the translation is 85% complete.
Outdated translations are marked like this.

This post has been published at https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/. You are welcome to add translations here.

Jak reagovala Wikimedia na bezpečnostní riziko "Heartbleed"

 
Logo pro chybu Heartbleed

Dne 7. dubna byl odhalen rozsáhlý problém v centrální součásti internetové bezpečnosti (OpenSSL). Tato chyba zabezpečení je nyní na všech wikistránkách nadace Wikimedia opravena. Pokud chcete pouze číst Wikipedii bez vytvoření účtu, nemusíte dělat nic. Máte-li uživatelský účet na kterékoli wikistránce nadace Wikimedia, budete se před příštím použitím svého účtu muset znovu přihlásit.

Problém nazvaný Heartbleed by umožnil útočníkům získat přístup k privilegovaným informacím na libovolné stránce běžící ve zranitelné verzi tohoto softwaru. Wikistránky, jejichž hostitelem je nadace Wikimedia, byly potenciálně ovlivněny touto chybou zabezpečení po dobu několika hodin poté, co byla odhalena. Nicméně nemáme žádné důkazy o skutečném ohrožení našich systémů a informací o našich uživatelích, a protože naše servery jsou konfigurovány zvláštním způsobem, bylo by pro útočníka velmi obtížné tuto chybu zabezpečení zneužít ke zcizení uživatelských hesel.

Poté, co jsme o tomto problému byli uvědoměni, začali jsme do všech našich systémů instalovat opravenou verzi daného softwaru. Pak jsme začali nahrazovat ohrožené SSL certifikáty uživatelů a resetovat všechny uživatelské znaky pověření. Podívejte se na časový průběh naší reakce níže.

Všichni přihlášení uživatelé s každým požadavkem na web posílají tajný znak pověření pro relaci. Pokud by někdo byl schopný zachytit tento znak, mohl by se vydávat za jiného uživatele. Resetování znaků pro všechny uživatele má tu výhodu, že se všichni uživatelé musí znovu připojit k našim serverům prostřednictvím aktualizované a opravené verze softwaru OpenSSL, čímž se tento potenciální útok znemožní.

Doporučujeme změnu hesla jako standardní preventivní opatření, ale nemáme v současné době v úmyslu prosazovat změnu hesla pro všechny uživatele. Skutečně neexistuje žádný důkaz, že by se uživatelé stránek nadace Wikimedia stali terčem tohoto útoku, ale chceme jim zajistit co největší bezpečnost.

Děkujeme za vaše porozumění a vaši trpělivost.

Greg Grossmeier, jménem skupin WMF Operations and Platform

Časový průběh reakce Wikimedia

(Časy jsou v UTC)

7. dubna

8. dubna:

9. dubna:

10. dubna:

Často kladené otázky

(Tento oddíl se bude dle potřeby rozšiřovat.)

  • Proč se datum "neplatné před" u vašeho SSL certifikátu nezměnilo, i když jste již změnu provedli?
    Náš poskytovatel certifikátu SSL udržuje původní datum "neplatné před" (někdy nesprávně označované za datum "vydáno") ve všech změněných certifikátech. To není neobvyklá praxe. Kromě možnosti podívat se na změny v souborech .PEM, na které se odkazuje v časovém průběhu výše, dalším způsobem ověření, že náhrada proběhla, je porovnat otisk našeho nového certifikátu s naším předchozím.