Wikimedia Blog/Drafts/Heartbleed

This post has been published at https://blog.wikimedia.org/2014/04/10/wikimedias-response-to-the-heartbleed-security-vulnerability/ . You are welcome to add translations here.

Em 7 de abril, foi revelado um problema generalizado em um componente central da segurança na internet (OpenSSL). A vulnerabilidade já foi corrigida em todas as wikis da Wikimedia. Se você apenas lê a Wikipédia sem criar uma conta de usuário, não é necessário que você faça nada. Se você possui uma conta em qualquer uma das wikis, você deve logar-se novamente da próxima vez que acessá-la.

Esse problema, chamado de Heartbleed, permitiria que pessoas mal intencionadas ganhassem acesso à informações privilegiadas em qualquer site que possuísse uma versão vulnerável do programa. Wikis da Fundação Wikimedia estiveram potencialmente afetadas por essa vulnerabilidade por várias horas antes de sua descoberta. Entrementes, não tivemos evidências de nenhum comprometimento em nossos sistemas ou nas informações de nossos usuários, e devido à forma particular como nossos bancos de dados são configurados, seria bem difícil para um hacker explorar a vulnerabilidade com o intuito de adquirir as senhas de usuários das wikis.

Após ficarmos cientes da vulnerabilidade, começamos a atualizar nossos sistemas com versões corrigidas do software em questão. Em seguida, começamos a substituir os certificados SSL críticos e redefinindo todos os tokens de sessão do usuário. Veja o cronograma completo da nossa resposta abaixo.

All logged-in users send a secret session token with each request to the site. If a nefarious person were able to intercept that token, they could impersonate other users. Resetting the tokens for all users has the benefit of making all users reconnect to our servers using the updated and fixed version of the OpenSSL software, thus removing this potential attack.

Nós recomendamos que você altere sua senha como um ato de precaução, todavia não é nossa pretensão que essa mudança de senha seja para todos os usuários. Novamente, não houve evidência de que a Fundação Wikimedia tenha sido atingida por esse ataque, mas desejamos que nossos usuários estejam os mais seguros o possível.

Agradecemos pela sua compreensão e paciência.

Greg Grossmeier, no interesse da equipe de Operações e Plataformas da Fundação Wikimedia

(Os horários estão em UTC)

7 de abril:

• 17:30:[Os problemas com o https://www.openssl.org/news/secadv_20140407.txt The Heartbleed são divulgados.]
• 21:48: Ubuntu libera versões atualizadas do programa.

8 de abril:

• 04:03: We begin upgrading libssl on all of our servers, beginning with high-priority machines.
• 09:08: We begin replacing SSL certificates.
• 13:09: We forcibly upgrade libssl on WMF Tool Labs.
• 13:46: The upgrade of libssl on all public servers is complete.
• 16:45: All Wikimedia wiki user-facing SSL servers have new certificates in place.
• 23:08: We begin resetting user login tokens (forcing users to re-login using new libssl and certificates).

April 9th:

• 13:54: ticket.wikimedia.org's ssl certificate is replaced (the last one)
• 16:44: Email to all users of ticket.wikimedia.org (OTRS) and otrs-wiki.wikimedia.org to change their passwords.
• 22:33: Logged out all Bugzilla users

April 10th:

• 08:42: We reset all Bugzilla (bugzilla.wikimedia.org) user login tokens.

(This section will be expanded as needed.)

• Why hasn't the "not valid before" date on your SSL certificate changed if you have already replaced it?

  Our SSL certificate provider keeps the original "not valid before" date (sometimes incorrectly referred to as an "issued on" date) in any replaced certificates. This is not an uncommon practice. Aside from looking at the change to the .pem files linked above in the Timeline, the other way of verifying that the replacement took place is to compare the fingerprint of our new certificate with our previous one.