Wikimédia Blog/Változatok/Vérző szív
This post has been published at https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/. You are welcome to add translations here.
A Wikimédia válasza a "Vérző szív" biztonsági sebezhetőségre
Április 7-én egy széles körben elterjedt hibát fedeztek fel az OpenSSL internet-biztonsági program egy központi komponensében. A sebezhetőséget javítottuk az összes Wikimédia wikin. Ha a Wikipédiát felhasználói fiók nélkül használod, további teendőd nincs. Ha van felhasználói fiókod bármely Wikimédia wikin, újra be kell jelentkezned, amikor legközelebb használni akarod a fiókot.
A "Vérző szívnek" nevezett hiba kihasználásával a támadók bizalmas információkhoz férhetnek hozzá a szoftver sebezhető változatát futtató weboldalakon. A hiba felfedezését követően a Wikimédia Alapítvány által működtetett wikik néhány óráig ki voltak téve ennek a veszélynek. Ugyanakkor nem találtuk semmi jelét annak, hogy rendszereink vagy a felhasználóink adatai ilyen támadás áldozatává váltak volna, továbbá szervereink speciális konfigurációjának köszönhetően nagyon nehéz lett volna egy támadó számára a sérülékenység kihasználása és a felhasználók wikis jelszavainak megszerzése.
Amikor értesültünk a sebezhetőségről, az összes rendszerünket elkezdtük frissíteni a szóban forgó szoftver javított változatára. Ezután lecseréltük a kritikus, a felhasználók által látható SSL tanúsítványokat, és megszakítottuk az összes munkamenetet. Az események pontos lefolyását lásd lentebb.
Minden bejelentkezett felhasználó böngészője egy titkos tokent (azonosító kódot) küld az oldalnak minden lapletöltéskor. Ha egy rosszindulatú személy megszerezné ezt a tokent, el tudná hitetni az oldallal, hogy ő az adott felhasználó. A tokenek cseréje használhatatlanná teszi az esetlegesen már ellopott tokeneket, és rákényszeríti a felhasználókat, hogy újra bejelentkezzenek, az új, biztonságos OpenSSL szoftvert használva.
Nem áll szándékunkban, hogy minden felhasználót kényszerítsünk jelszavának megváltoztatására, mégis azt javasoljuk, hogy elővigyázatosságból változtasd meg a jelszavadat. Nincs jele annak, hogy a Wikimédia Alapítvány felhasználói ellen támadás irányult volna, de azt szeretnék, ha minden felhasználónk a legnagyobb biztonságban érezhetné magát.
Köszönjük a megértésedet és a türelmedet.
Greg Grossmeier, a WMF üzemeltetési és platform csapatának nevében
A Wikimédia ellenintézkedéseinek pontos menete
(Az időpontok UTC idő szerint értendők)
Április 7:
- 17:30: Nyilvánosságra hozzák a Vérző Szív hibát.
- 21:48: Kiadják az Ubuntu operációs rendszer javított változatát.
Április 8:
- 04:03: Elindítjuk a libssl frissítését minden szerverünkön, a legfontosabb gépekkel kezdve.
- 09:08: Megkezdjük az SSL tanúsítványok cseréjét.
- 13:09: Frissítjük a libssl-t a WMF Tool Labs-on.
- 13:46: A libssl frissítése sikeresen véget ér minden nyilvános szerveren.
- 16:45: Minden Wikimédia-wikin a felhasználók számára látható minden SSL szerveren új tanúsítvány van.
- 23:08: Elkezdjük a felhasználók bejelentkezési tokenjeinek cseréjét (ez kikényszeríti, hogy újra bejelentkezzenek, az új libssl és tanúsítványok használatával)
Április 9:
- 13:54: kész a ticket.wikimedia.org SSL tanúsítványának cseréje (ez az utolsó tanúsítvány)
- 16:44: Levelet küldünk a ticket.wikimedia.org (OTRS) és az otrs-wiki.wikimedia.org összes felhasználójának, hogy cseréljenek jelszót.
- 22:33: Kijelentkeztetjük az összes Bugzilla felhasználót
Április 10:
Gyakran Ismételt Kérdések
(Ez a szakasz még bővülhet.)
- Ha lecseréltétek az SSL tanúsítványokat, miért nem változott a "not valid before" (legkorábbi érvényesség) dátumuk?
- Az SSL-tanúsítvány-szolgáltatónk megőrzi az eredeti "not valid before" dátumot (amit néha tévesen kibocsájtási dátumnak neveznek), ha lecserél egy tanúsítványt. Ez egy bevett szokás. Az eseménysorban lévő linken látható, hogy a .pem fájlok megváltoztak, és akkor is, ha a régi és az új ujjlenyomatot összehasonlítod.