维基媒体基金会对于“心脏出血”(Heartbleed)安全漏洞的回复

在4月7日,保护互联网安全的基础程序之一OpenSSL被曝出有一个影响广泛的安全漏洞。维基媒体基金会已经修复了所有维基媒体站点的漏洞。如果您仅仅是维基百科(Wikipedia)的读者并且没有创建过账号,那么这一漏洞不会对您造成影响。如果您是维基媒体项目的注册用户,那么您需要在下次使用账户时重新登录。

这个问题被命名为心脏出血漏洞,它会允许网络攻击者从任何有此安全漏洞的网站上窃取被加密的信息。在此问题被揭露的数小时之后,维基媒体基金会下的维基站点都受到了该威胁的潜在影响。然而,我们没有证据表明我们的系统和用户信息受到影响;并且由于我们配置服务器的特殊方式,攻击者也难以通过此漏洞来窃取用户的维基账户密码。

自从发现了这个问题后,我们已经着手将系统软件升级至打上补丁后的版本。并且我们替换了关键的面向用户的SSL证书并且重设了所有用户会话令牌。详细时间表请参见下文。

所有登录的用户在向网站发送请求时,都发送了一个秘密的会话令牌。如果一个有恶意的人能够截获该令牌,他们就能以其他用户的名义操作。重置所有的用户会话令牌,可以确保所有用户在与我们服务器重新连接时,使用更新后的OpenSSL软件,从而阻止这一可能的攻击。

我们建议更换您的密码(这是一种标准的预防措施),但是我们目前不会强制所有用户更改密码。目前没有任何证据显示维基媒体基金会的用��遭受攻击,但是我们希望我们的所有用户能尽量安全。

感谢您的理解与耐心。

Greg Grossmeier,代表维基媒体基金会维护及平台团队。

维基媒体回应的时间表

(时间为UTC时间)

4月7日:

4月8日:

4月9日:

4月10日:

常见问题

(此章节在需要情况下会被扩充)

    • 在你们更换了SSL证书后,为什么你们的SSL证书的“生效日期”的具体时间没有更新?
      我们的SSL证书提供商不改变任何已更换过的证书的“生效日期”(有时被误称为“发行”日)。这不是一种罕见的做法。除了查看上文提到的对.pem文件的更改,另一种查看更改的方式是比对我们新旧证书的指纹。

Archive notice: This is an archived post from blog.wikimedia.org, which operated under different editorial and content guidelines than Diff.