A Wikimédia válasza a “Vérző szív” biztonsági sebezhetőségre

A Vérző szív hiba logója

Április 7-én egy széles körben elterjedt hibát fedeztek fel az OpenSSL internet-biztonsági program egy központi komponensében. A sebezhetőséget javítottuk az összes Wikimédia wikin. Ha a Wikipédiát felhasználói fiók nélkül használod, további teendőd nincs. Ha van felhasználói fiókod bármely Wikimédia wikin, újra be kell jelentkezned, amikor legközelebb használni akarod a fiókot.

A “Vérző szívnek” nevezett hiba kihasználásával a támadók bizalmas információkhoz férhetnek hozzá a szoftver sebezhető változatát futtató weboldalakon. A hiba felfedezését követően a Wikimédia Alapítvány által működtetett wikik néhány óráig ki voltak téve ennek a veszélynek. Ugyanakkor nem találtuk semmi jelét annak, hogy rendszereink vagy a felhasználóink adatai ilyen támadás áldozatává váltak volna, továbbá szervereink speciális konfigurációjának köszönhetően nagyon nehéz lett volna egy támadó számára a sérülékenység kihasználása és a felhasználók wikis jelszavainak megszerzése.

Amikor értesültünk a sebezhetőségről, az összes rendszerünket elkezdtük frissíteni a szóban forgó szoftver javított változatára. Ezután lecseréltük a kritikus, a felhasználók által látható SSL tanúsítványokat, és megszakítottuk az összes munkamenetet. Az események pontos lefolyását lásd lentebb.

Minden bejelentkezett felhasználó böngészője egy titkos tokent (azonosító kódot) küld az oldalnak minden lapletöltéskor. Ha egy rosszindulatú személy megszerezné ezt a tokent, el tudná hitetni az oldallal, hogy ő az adott felhasználó. A tokenek cseréje használhatatlanná teszi az esetlegesen már ellopott tokeneket, és rákényszeríti a felhasználókat, hogy újra bejelentkezzenek, az új, biztonságos OpenSSL szoftvert használva.

Nem áll szándékunkban, hogy minden felhasználót kényszerítsünk jelszavának megváltoztatására, mégis azt javasoljuk, hogy elővigyázatosságból változtasd meg a jelszavadat. Nincs jele annak, hogy a Wikimédia Alapítvány felhasználói ellen támadás irányult volna, de azt szeretnék, ha minden felhasználónk a legnagyobb biztonságban érezhetné magát.

Köszönjük a megértésedet és a türelmedet.

Greg Grossmeier, a WMF üzemeltetési és platform csapatának nevében

A Wikimédia ellenintézkedéseinek pontos menete

(Az időpontok UTC idő szerint értendők)

Április 7:

Április 8:

Április 9:

SSL tanúsítványának cseréje] (ez az utolsó tanúsítvány)

Április 10:

Gyakran Ismételt Kérdések

(Ez a szakasz még bővülhet.)

  • Ha lecseréltétek az SSL tanúsítványokat, miért nem változott a “not valid before” (legkorábbi érvényesség) dátumuk?
    Az SSL-tanúsítvány-szolgáltatónk megőrzi az eredeti “not valid before” dátumot (amit néha tévesen kibocsájtási dátumnak neveznek), ha lecserél egy tanúsítványt. Ez egy bevett szokás. Az eseménysorban lévő linken látható, hogy a .pem fájlok megváltoztak, és akkor is, ha a régi és az új ujjlenyomatot összehasonlítod.

Archive notice: This is an archived post from blog.wikimedia.org, which operated under different editorial and content guidelines than Diff.