Respuesta de Wikimedia a la escalabradura de seguridá “Heartbleed”

Logo del bug Heartbleed

El 7 d’abril revelóse un problema estendíu nun componente central de la seguridá d’Internet (OpenSSL). Yá ta iguada esta escalabradura en toles wikis de Wikimedia. Si sólo llee Wikipedia sin crear nenguna cuenta, nun necesita facer nada. Si tien una cuenta d’usuari en cualquier wiki de Wikimedia, tendrá qu’aniciar una sesión nueva la próxima vez qu’use la so cuenta.

El problema, llamáu Heartbleed, permitiría a unos atacantes ganar accesu a información privilexada en cualquier sitiu qu’execute una versión frañada d’esi software. Les wikis agospiaes pola Fundación Wikimedia tuvieron afeutaes demientres delles hores después de que s’espublizara esti fallu. Sicasí, nun tenemos evidencia nenguna de que los nuestros sistemes o la información de los usuarios pudieran tar comprometíos y, pola forma particular en que tenemos configuraos los nuesos sirvidores, sedría mui difícil pa un atacante esplotar el fallu pa collechar les contraseñes de los usuarios de la wiki.

Después de conocer el problema, principiamos por anovar tolos sistemes con versiones iguáes del software en cuestión. Darréu, empezamos a sustituir los certificaos SSL críticos cara al usuariu y reaniciar tolos pases de sesión d’usuariu. Vea más abaxo un diagrama temporal completu de la nuesa respuesta.

Tolos usuarios rexistraos unvien un pase de sesión secretu con cada solicitú al sitiu. Si una persona fuina pudiera interceptar esi pase, podría suplantar a otros usuarios. El reaniciu de los pases pa tolos usuarios tien la ventaya de facer que tolos usuarios vuelvan a coneutase a los sirvidores usando la versión anovada ya iguada del software OpenSSL, torgando asina esti ataque potencial.

Recomendamos que cambie la contraseña como midida de precaución estándar, pero nesti momentu nun tenemos la intención d’obligar a tolos usuarios a facelo. Insistimos en que nun hai evidencia de que los usuarios de la Fundación Wikimedia fueran blanco d’esti ataque, pero queremos que tolos nuesos usuarios tean lo más seguros posible.

Gracies pola so comprensión y paciencia.

Greg Grossmeier, nel nome de los equipos d’Operaciones y Plataforma de la Fundación Wikimedia.

Diagrama temporal de la respuesta de Wikimedia

(Les hores tan en UTC)

7 d’abril:

8 d’abril:

9 d’abril:

10 d’abril:

Entrugues frecuentes

(Esta sección s’espanderá según se necesite).

  • ¿Por qué nun cambió la data «non válidu antes de» del certificáu SSL si yá lu trocaron?
    El nuesu fornidor de certificáu SSL caltién la data orixinal «non válidu antes de» (incorreutamente llamada dacuando data de «asoleyáu el») en cualquier certificáu trocáu. Esto nun ye una práctica estraña. Amás de mirar el cambiu de los ficheros .pem enllazaos más arriba na cronoloxía, la otra manera de comprobar que tuvo llugar el cambiu ye comparar la buelga dixital del certificáu nuevu cola del anterior.

Archive notice: This is an archived post from blog.wikimedia.org, which operated under different editorial and content guidelines than Diff.