Wikimedia Blog/Concepten/Heartbleed

Op 7 april is er een groot beveiligingslek blootgelegd in een belangrijk component van de beveiliging van webpagina's (OpenSSL). Op alle Wikimedia-wiki's is dit lek inmiddels gedicht. In het geval u Wikipedia slechts, zonder gebruikersaccount, leest dan hoeft u geen actie te ondernemen. Als u op één of meerdere Wikimedia-wiki's wél een account heeft dan zult u opnieuw in moeten loggen.

Het zogenaamde Heartbleed-lek gaf aanvallers de mogelijkheid vertrouwelijke informatie te benaderen op elke webpagina die een kwetsbare versie van OpenSSL gebruikte. Wiki's van de Wikimedia Foundation waren tot enkele uren na het bekend worden van het lek kwetsbaar. We hebben echter geen aanwijzingen dat het lek daadwerkelijk misbruikt is om toegang tot onze systemen, of tot gegevens van gebruikers te krijgen. Het zou daarnaast, door onze specifieke serverconfiguratie, voor een aanvaller erg lastig zijn geweest om wachtwoorden van gebruikers te achterhalen.

Nadat we op de hoogte waren gesteld van het probleem zijn we meteen begonnen met het upgraden van al onze systemen. Vervolgens hebben we onze SSL-certificaten vervangen, en hebben we alle sessietokens gereset. Zie ook de volledige tijdlijn van alle de door Wikimedia ondernomen acties hieronder.

Alle ingelogde gebruikers sturen bij ieder verzoek aan de site een sessietoken mee. Als een aanvaller dat token van een gebruiker onderschept, dan kan deze zich daarmee voor die gebruiker uitgeven. Door het resetten van de sessietokens kan de aanvaller een token niet meer gebruiken. Bij het opnieuw inloggen wordt een versie van OpenSSL gebruikt waar het lek gerepareerd is, zodat deze aanval afgewend wordt.

Wij raden het aan om uw wachtwoord te veranderen als voorzorgsmaatregel, maar wij verplichten het niet dat alle gebruikers hun wachtwoorden veranderen. Er zijn geen sporen gevonden dat gebruikers het slachtoffer zijn geworden van deze bug, maar wij willen dat al onze gebruikers zo veilig als mogelijk zijn.

Dank u voor uw begrip en uw geduld.

Greg Grossmeier, namens de WMF Operations en Platform teams.

(Tijden zijn in UTC)

7 april:

• 17:30: De Heartbleed-bug is openbaar gemaakt.
• 21:48: Ubuntu geeft vernieuwde versies van de software vrij.

8 april:

• 04:03:We beginnen met het bijwerken van libssl op al onze servers, beginnende bij de apparaten met hoge prioriteit.
• 09:08: We beginnen met het vervangen van SSL-certificaten.
• 13:09: We werken libssl bij op WMF Tool Labs.
• 13:46: De upgrade van libssl op alle servers is voltooid.
• 16:45: Alle SSL-servers van Wikimedia die in contact staan met gebruikers hebben vernieuwde certificaten gekregen.
• 23:08: We beginnen met het resetten van de login-tokens (om gebruikers te dwingen opnieuw in te loggen met gebruik van de nieuwe libssl-versie en certificaten).

9 april:

• 13:54: ticket.wikimedia.org's SSL-certificaat is vervangen (de laatste)
• 16:44: E-mail verzonden naar alle gebruikers van ticket.wikimedia.org (OTRS) en otrs-wiki.wikimedia.org als notificatie om hun wachtwoorden te veranderen.
• 22:33:Alle Bugzilla gebruikers zijn uitgelogd

10 april:

• 08:42: We resetten alle Bugzilla (bugzilla.wikimedia.org) login-tokens.

(Deze sectie zal uitgebreid worden wanneer nodig is.)

• Waarom is de "niet geldig vóór"-datum op jullie SSL certificaat niet veranderd als jullie het certificaat al vervangen hebben?

  Onze SSL certificaat-verstrekker houdt de oude "niet geldig vóór"-datum (soms foutief "verstrekt op"-datum genoemd) bij al de vervangen certificaten. Dit is niet ongewoon. Los van het kijken naar de verandering in de .pem bestanden waar naar wordt gelinkt boven de Tijdlijn, kan ook geverifieerd dat de verandering plaats heeft gevonden door de vingerafdruk van het nieuwe certificaat te vergelijken met onze vorige.