Blog Wikimedia/Konsep/Heartbleed

Pada tanggal 7 April, isu menyebar mengenai komponen utama dari keamanan internet (OpenSSL) diberitahukan. Kerentanan ini sudah diperbaiki di seluruh wiki milik Wikimedia. Bila Anda hanya membaca Wikipedia tanpa membuat akun pengguna, tidak ada yang dibutuhkan dari Anda. Bila Anda membuat akun pengguna di seluruh wiki milik Wikimedia, Anda harus re-login disaat Anda selanjutnya menggunakan akun pengguna Anda.

Isu utamanya, disebut Heartbleed, memperbolehkan penyerang mendapatkan akses ke informasi khusus di semua situs yang lemah terhadap perangkat lunak tersebut. Wiki yang di host oleh Yayasan Wikimedia memiliki potensial untuk terpengaruh dengan kelemahan ini selama beberapa jam setelah kerentanan ini diberitahukan. Biarpun begitu, kami tidak memiliki bukti bahwa ada ada masalah kepada system kami untuk informasi pengguna, dan dikarenakan server kami memiliki konfigurasi khusus sendiri, akanlah sangat sulit untuk penyerang mengeksploit kerentanan ini untuk mengambil password akun pengguna.

Setelah kami mengetahui adanya isu ini, kami memulai memutakhirkan semua system kami dengan versi patch dari software yang dipermasalahkan. Kami selanjutnya mengganti sertifikat pengguna SSL yang kritikal dengan me-reset ulang semua sesi token. Lihat semua garis waktu respon dibawah.

Semua pengguna yang log-in menerima sesi token rahasia dengan setiap permintaan ke situs. Bila ada orang denga maksud buruk mampu menangkap token tersebut, mereka dapat berpura pura meniru pengguna lain. Me-reset ulang token untuk semua pengguna memiliki keuntungan membuat semua pengguna menghubungkan ulang ke server kami menggunakan perangkat lunak yang sudah dimutakhirkan dan sudah diperbaiki, alhasil menghapus kemungkinan penyerangan ini.

Kami merekomendasikan untuk mengganti password Anda untuk tindakan pencegahan, tetapi kami tidak bermaksud untuk memaksa penggantian password untuk semua pengguna. Sekali lagi, tidak ada bukti pengguna Yayasan Wikimedia menjadi sasaran untuk serangan ini, tetapi kami menginginkan semua pengguna untuk tetap dalam keadaan aman.

Terima kasih untuk kesabaran dan pengertiannya.

Greg Grossmeier, atas nama tim operasi WMF dan tim platform

(waktu menggunakan UTC)

7 April:

• 17:30: Bug Heartbleed diberitakan.
• 21:48: Ubuntu melepaskan versi patch dari perangkat lunak tersebut.

8 April:

• 04:03: Kami memulai pemutakhiran libssl di semua server kami, dan memulai dengan mesin prioritas tinggi.
• 09:08: Kami mulai mengganti sertifikat SSL.
• 13:09: Kami mulai pemutakhiran paksa libssl di WMF Tool Labs.
• 13:46: Semua pemutakhiran libssl di semua server publik selesai.
• 16:45: Semua server wiki pengguna SSL telah memiliki sertifikat baru.
• 23:08: Kami mulai mereset token log-in(memaksa pengguna untuk log ulang menggunakan libssl dan sertifikat yang baru).

9 April:

• 13:54: sertifikat ssl ticket.wikimedia.org's telah diganti (paling akhir)
• 16:44: mengirim surel ke semua pengguna ticket.wikimedia.org (OTRS) dan otrs-wiki.wikimedia.org untuk mengganti password mereka.
• 22:33: me-log-out semua pengguna Bugzilla

10 April:

• 08:42: Kami me-reset ulang semua token log-in Bugzilla (bugzilla.wikimedia.org).

(Bagian ini akan dikembangkan bila dibutuhkan.)

• Mengapa "tidak valid sebelumnya" pada penanggalan sertifikat SSL diganti bila kamu (WMF) telah menggantinya?

  Penyedia sertifikat SSL kami tetap menggunakan tanggal "tidak valid sebelumnya" (terkadang salah menunjukan "tanggal" isu) di semua sertifikat yang telah diganti. Ini bukanlah praktek yang tidak umum. Selain dari melihat perubahan pada berkas .pem yang dihubungkan di garis waktu di atas, jalan lain untuk memverifikasi penggantian adalah membandingkan "sidik jari" pada sertifikat baru kami dengan sertifikat yang lama.