위키미디어 블로그/초안/Heartbleed

This page is a translated version of the page Wikimedia Blog/Drafts/Heartbleed and the translation is 85% complete.
Outdated translations are marked like this.

This post has been published at https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/. You are welcome to add translations here.

위키미디어의 "Heartbleed" 보안 취약성 대응

 
Heartbleed 버그의 로고

4월 7일 인터넷 보안의 핵심 요소(OpenSSL)에서 문제가 발견되었습니다. 그 취약성은 이제 모든 위키미디어 위키에서 해결되었습니다. 위키백과 계정을 만들지 않고 단순히 읽기만 한다면 따로 할 일이 없습니다. 어떠한 위키미디어 위키에라도 계정이 있다면 다음에 그 계정을 사용할 때 다시 로그인해야 합니다.

Heartbleed라고 불리는 이 버그는 공격자가 취약성이 있는 그 소프트웨어를 실행하는 사이트에 있는 비공개 정보를 취득할 수 있게 합니다. 위키미디어 재단에서 호스팅하는 위키에서는 이 취약성이 발견되고 몇 시간 동안 일시적으로 공격을 받을 수 있었습니다. 그러나 실제로 재단의 시스템이나 사용자 정보를 공격한 어떠한 증거도 없습니다. 재단 서버가 특별하게 구성되었기 때문에 공격자가 사용자의 위키 비밀번호를 취득하기 위해 그 취약성을 악용하기는 매우 힘들었을 것입니다.

재단에서 이 문제를 발견하고 문제가 있는 소프트웨어를 패치된 버전으로 재단의 모든 시스템을 업그레이드하기 시작했습니다. 그러고나서 중요한 사용자측 SSL 인증서를 대체하고 모든 사용자 세션 토큰을 초기화하기 시작했습니다. 아래에서 재단이 어떻게 대응했는지 그 경과를 보십시오.

모든 로그인한 사용자는 사이트에 요구할 때마다 비밀 세션 토큰을 전송합니다. 악의적인 사람이 그 토큰을 가로챌 수 있다면 다른 사용자를 사칭할 수 있을 것입니다. 모든 사용자의 토큰을 초기화하면 모든 사용자가 갱신되어 수정된 OpenSSL 소프트웨어를 사용해 다시 연결하게 하는 이점이 있으며 이는 잠재적인 공격을 방지합니다.

재단에서는 일반적인 사전 예방 조치로 사용자 비밀번호를 변경할 것을 권하지만 모든 사용자에게 강제로 비밀번호를 변경하게할 의도는 없습니다. 다시 한번 말하지만 위키미디어 재단 사용자가 이 공격의 대상이 되었다는 증거는 없지만 재단에서는 모든 사용자가 되도록 안전하기를 바랍니다.

사용자 여러분이 양해하고 참아주셔서 감사합니다.

WMF 운영 및 플랫폼 팀 Greg Grossmeier

위키미디어 대응 경과

(시간은 UTC)

4월 7일

4월 8일

4월 9일

4월 10일

자주 묻는 질문

(필요하면 추가됩니다.)

  • 사용자 SSL 인증서를 대체했다면 그 인증서의 "이전 무효" 날짜가 바뀌지 않은 이유는?
    재단의 SSL 인증서 제공자는 원래의 "이전 무효" 날짜("발행" 날짜로 잘못 지칭되기도 함)를 대체 인증서에서도 유지합니다. 이는 특별한 관행이 아닙니다. 위의 경과에서 링크된 .pem 파일의 변화를 보는 외에 대체가 되었음을 확인하는 나머지 방법은 새 인증서의 식별자를 이전의 식별자와 비교하는 것입니다.