Блог Викимедиа/Черновики/Heartbleed
Этот пост был опубликован как https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/. Вы можете добавлять переводы здесь.
Обращение Викимедиа по поводу уязвимости безопасности из-за ошибки "heartbleed"
7 апреля была раскрыта широко распространенная ошибка в центральном компоненте интернет-безопасности (OpenSSL). Уязвимость уже исправлена на всех проектах Викимедиа. Если вы только читаете википедию и не имеете аккаунта, от вас ничего не требуется. Если же ві имеете аккаунт на любом проекте Викимедиа, вы должны перелогиниться в следующий раз, когда будете использовать свой аккаунт.
Ошибка, которая называется "Heartbleed", позволяет хакерам получить доступ к привилегированной информации любого сайта, который использует уязвимую версию этого программного обеспечения. Проекты Викимедиа потенциально могли быть поражены этой ошибкой несколько часов после того, как она была найдена. Однако, у нас нет никаких доказательств вреда нашим системам или информации пользователей. И поэтому, конфигурация наших серверов сделала использование этой ошибки хакерами для кражи паролей очень сложным.
После того, как мы узнали об ошибке, мы начали обновлять все системы исправленной версией программного обеспечения. Потом мы начали заменять критические SSL-сертификаты, контактирующие с пользователями, и завершили все сессии пользователей. Смотрите полную хронологию наших действий ниже.
Все залогиненые пользователи присылают секретный сессионный токен на каждое обращение к сайту. Если нечестный человек перехватит этот токен, он сможет представляться другими пользователями. Сброс этих токенов для всех пользователей хорош тем, что заставляет всех пользователей переподключаться к нашим серверам используя обновленную и исправленную версию программного обеспечения OpenSSL, что исключает потенциальные атаки.
Мы рекомендуем изменение пароля как стандартную профилактическую меру, но мы, к настоящему времени, не собираемся заставлять это делать всех пользователей. Повторяем, не было никаких доказательств, что пользователи Викимедиа были атакованы, но мы хотим, чтобы все пользователи были настолько защищены, насколько это возможно.
Спасибо за ваше понимание и терпение.
Грег Гроссмейер, от имени команд операций и платформ Викимедии.
Хронология действий Викимедиа
(Время указано в UTC)
7ое апреля:
- 17:30: Ошибка "Heartbleed" опубликована.
- 21:48: Ubuntu выпускает исправленую версию программного обеспечения.
8ое апреля:
- 04:03: Мы начали обновлять библиотеки SSL на всех наших серверах, начиная с самых приоритетных.
- 09:08: Мы начали заменять сертификаты SSL.
- 13:09: Мы принудительно обновили библиотеки SSL на WMF Tool Labs.
- 13:46: Обновление библиотек SSL на всех публичных серверах завершено.
- 16:45: Все серверы проектов Викимедиа, контактирующие с пользователями, уже имеют новые сертификаты SSL.
- 23:08: Мы начали сбрасывать токены авторизации пользователей (заставляя пользователей заново авторизоваться с использованием новых библиотек SSL и сертификатов).
9 апреля:
- 13:54: SSL-сертификат ticket.wikimedia.org заменён (последний)
- 16:44: Посылаем письма всем пользователям ticket.wikimedia.org (OTRS) и otrs-wiki.wikimedia.org с просьбой изменить пароли.
- 22:33: Разлогинили пользователей Bugzilla
10ое апреля:
Часто Задаваемые Вопросы
(Этот раздел будут увеличиваться по мере необходимости.)
- Почему "не действительны до" даты на вашем сертификате SSL не изменились, если вы уже заменили его?
- Наш поставщик SSL-сертификатов хранит настоящую "не действительны до" дату (которую иногда путают с "выдается на" датой) на всех замененных сертификатах. Это не нераспространённая практика. Кроме изучения изменений в .pem-файлах, ссылки на которые есть сверху в хронологии, другой способ убедиться, что замена действительно была - это сравнить отпечатки пальцев на новом и старом сертификатах.