Wikimedia Blog/Drafts/Heartbleed/fi
This post has been published at https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/. You are welcome to add translations here.
Wikimedian vastaus Heartbleed-tietoturvahaavoittuvuuteen
7. huhtikuuta julkaistiin tieto laaja-alaisesta haavoittuvuudesta Internetin keskeisessä tietoturvakomponentissa (OpenSSL). Haavoittuvuus on nyt paikattu kaikissa Wikimedian wikeissä. Jos sinulla ei ole tunnusta Wikipediassa, sinun ei tarvitse tehdä mitään. Jos sinulla on tunnus missä tahansa Wikimedian wikissä, sinun täytyy kirjautua sisään kun käytät tunnusta seuraavan kerran.
The issue, called Heartbleed, would allow attackers to gain access to privileged information on any site running a vulnerable version of that software. Wikis hosted by the Wikimedia Foundation were potentially affected by this vulnerability for several hours after it was disclosed. However, we have no evidence of any actual compromise to our systems or our users' information, and because of the particular way our servers are configured, it would have been very difficult for an attacker to exploit the vulnerability in order to harvest users' wiki passwords.
Aloimme päivittämään järjestelmiämme korjatulla ohjelmistolla saatuamme tiedon haavoittuvuudesta. Sen jälkeen aloimme vaihtamaan SSL-sertifikaatteja ja päättämään kaikki aktiiviset istunnot. Tarkempi aikajana on alempana.
Kaikki sisäänkirjautuneet käyttäjät lähettävät salaisen tunnisteen jokaisessa sivustolle lähetetyssä pyynnössä. Vihamielinen käyttäjä voi esiintyä toisena käyttäjänä, mikäli hän saa toisen käyttäjän tunnisteen tietoonsa. Kaikkien tunnisteiden nollaus poistaa tämän mahdollisuuden yhdessä päivitetyn OpenSSL-ohjelmiston kanssa.
Suosittelemme salasanojen vaihtoa ennaltaehkäisevänä toimena, mutta emme pakota siihen. Ei ole näyttöä, että Wikimedia-säätiön käyttäjiä olisi ollut hyökkäyksen kohteena, mutta haluamme käyttäjiemme olevan mahdollisimman turvassa.
Kiitos ymmärryksestä.
Greg Grossmeier Wikimedian järjestelmäylläpitäjien ja alustatiimin puolesta
Wikimedian toimintojen aikajana
(UTC-aika)
7. huhtikuuta:
- 17.30: Tiedot Heartbleed-haavoittuvuudesta tulevat julki.
- 21.48: Ubuntu julkaisee korjatun version ohjelmistosta.
8. huhtikuuta:
- 4.03: Aloitimme libssl-kirjastojen päivityksen palvelimillamme aloittaen tärkeimmistä palvelimista.
- 09.08: Aloitimme SSL-sertifikaattien korvaamisen.
- 13.09: libssl-kirjaston päivitys pakotettiin Wikimedian Tool Labsissa.
- 13.46: libssl-kirjaston päivitys kaikilla julkisilla palvelimilla on valmis.
- 16.45: Kaikki Wikimedian julkiset SSL-palvelimet käyttävät nyt uusia sertifikaatteja.
- 23.08: Aloitimme käyttäjien istuntojen päättämisen (Pakottaa käyttäjien uudelleen sisäänkirjautumisen.)
9. huhtikuuta:
- 13.54: ticket.wikimedia.orgin ssl-sertifikaatti korvattiin (viimeinen)
- 16.44: Kaikille ticket.wikimedia.orgin (OTRS) ja otrs-wiki.wikimedia.orgin käyttäjille lähetettiin sähköposti, jossa kehotettiin vaihtamaan salasanat.
- 22:33: Logged out all Bugzilla users
10. huhtikuuta:
Usein kysyttyjä kysymyksiä
(Tätä osiota laajennetaan tarpeen mukaan)
- Miksi SSL-sertifikaattien "ei voimassa ennen"-päiväys ei muuttunut, kun ne korvattiin?
- Meidän SSL-sertifikaattien tarjoaja säilyttää alkuperäisen ”ei voimassa ennen” -päiväyksen (joskus virheellisesti nimellä ”myönnetty”) korvatuissa sertifikaateissa. Tämä on yleinen käytäntö. Lukuun ottamatta yllä aikajanassa linkitettyjen pem-tiedostojen tarkastamista, ainoa tapa todeta, että sertifikaatit on päivitetty on verrata uuden ja vanhan sertifikaatin sormenjälkeä.