Pada 7 April, suatu isu luas bangkit bagi keselamatan Internet (OpenSSL) telah diketahui orang. Isu kelemahan ini semakin dibetulkan oleh semua Wikimedia wikis. Jika anda hanya membaca wikipedia tanpa akaun, tidak ada apa yang perlu daripada anda. Jika anda mempunyai akaun pengguna dalam Wikimedia wiki, anda perlu re-login lain kali apabila mengguna akaun anda.
Isu ini dipanggil Heartbleed, membolehkan penyerang internet mendapat akses ke informasi keutamaan dari program komputer yang berversi kurang kekuatan. Pengguna iaitu Wikis, yang ditaja oleh Wikimedia Foundation telah didapati berpotensi untuk dipengaruhi oleh kekurangan tersebut setelah ianya diketahui dalam beberapa jam lalu. Walaupun demikian, pihak kami masih tidak dapat apa bukti dari sistem kami ataupun pengguna kami, dan oleh sebab cara kami memperadukkan server pihak kami, ini telah menyusahkan penyerang-penyerang untuk mendapat seberang kata laluan pengguna wiki.
Setelah tersedar dengan isu tersebut, kami mulai menaik taraf sistem dengan versi program yang dibaiki dalam situasi tertanyaan. Kami bermula dengan pertukaran sijil SSL utama (tingkat pengguna) dan pertukaran semua sessi token. Lihat semua tali masa daripada tindakbalas kami seperti di bawah.
Semua daftar masuk pengguna mengirimkan sessi parameter rahsia yang dikehendaki oleh website tersebut. Jika penjahat dapat menghentikan sessi token itu, ia juga dapat menirukan diri sebagai pengguna lain. Pertukaran sessi token untuk semua pengguna mempunyai kebaikan bagi menghubungkan pengguna dengan memakai versi OpenSSL program yang telah naik taraf dan diperbaiki, tambahan menolakan potensi diserang.
Kami mencadangkan pertukaran kata laluan anda sebagai pencegahan ini, tetapi bukan sekaranglah yang melaksanakan pertukaran kata laluan untuk semua pengguna. Tambahan jua pihak kami tidak mempunyai bukti pengguna Wikimedia Foundation menjadi matlamat diserang, tetapi kami ingin para pengguna kami dalam situasi yang selamat.
Ribuan terima kasih.
Greg Grossmeier, wakil WMF Operation and Platform teams
Tali masa untuk Wikimedia reaksi
(Masa dalam UTC)
7, April
8, April
- 04:03:kami mulai menaik taraf libssl dalam semua penyelia komputer, bermula dengan mesin keutamaan.
- 09:08:kami mulai pertukaran sijil SSL.
- 13:09:kami terpaksa menaik taraf libssl di WMF Tool Labs.
- 13:46:Kenaikan taraf untuk libssl di semua komputer penyelia awam telah disiapkan.
- 16:45:Semua Wikimedia wiki pengguna taraf SSL komputer penyelia mempunyai sijil baru.
- 23:08:Kami mulai menukarkan parameter login pengguna ( pengguna terpaksa login lagi dengan libssl baru dan sijil baru).
9, April
- 13:54:ssl sijil, tiket.wikimedia.org telah digantikan (dengan yang lama)
- 16:44: email kepada semua pengguna ticket.wikimedia.org(OTRS) dan otrs-wiki.wikimedia.org untuk menukar kata laluan mereka.
- 22:33:log out semua Bugzilla pengguna
10, April
Soalan yang sering ditanya
(Sessi ini akan dipanjangkan masa seperti yang dikehendaki.)
- Mengapakah ” tidak sah sebelum” tarikh di SSL sijil anda bertukar kalau anda sudah menukarkannya?
- Sijil SSL pemberi kami tidak menukar tarikh asal “tidak sah sebelum” (kadang salah merupakan “tarikh keluar”) di dalam sijil yang tertukar. Ini bukan suatu keadaan luar biasa. Selain itu, pertukaran di .pem fail yang dihubungi dengan tali masa atas, cara lain membuat verifikasi atas gantian ialah perbandingan antara baru dengan yang dulu.