maanantai 14. huhtikuuta 2014

Akamai teki päivityksen OpenSSL haavoittuvuuteen, todettiinkin toimimattomaksi

Akamai Technologies jonka tietoliikenne kattaa noin 30% kokonaisuudessaan internet liikenteestä teki päivityksen OpenSSL-kirjastoon jo vuosia sitten jonka oli tarkoitus parantaa sen suojauksia, Akamai uskoi että heidän oma päivityksensä olisi suojannut myös Heartbleed virheeltä.

Toisin kuitenkin kävi sillä Akamain päivitys jonka yhtiö oli toimittanut myös OpenSSL:n kehittäjille huomattiin jo 15 minuutin tarkastelun jälkeen toimimattomaksi.

Akamain tekemä versio kyllä korjaa tiettyjä asioita mutta koodista löytyy silti sama ongelma kuin alkuperäisestäkin OpenSSL-kirjastosta. Päivityksen oli tarkoitus suojata käyttäjien henkilökohtaisia SSL-avaimia vaikka Heartbleed olisikin järjestelmässä aktiivinen.

Akamain päivityksen ideana on ohjata OpenSSL:n henkilökohtainen avain erilliseen muistiavaruuteen jolloin se ei tulisi julki samankaltaisesti kuin Heartbleedissä. Akamai kertoi että se olisi suojannut tämän kyseisen muistin mutta todellisuudessa siihen on mahdollista päästä käsiksi sillä sitä suojaavat muurit eivät kytkeydy päälle.

Hakkeri löysi virheet ja kyseenalaisti Akamain toimintatavan:

Akamain lähettämän kirjastopäivityksen koodivirheen ja toimimattomaksi korjaukseksi todensi Willem Pinckaers joka väitti löytäneensä Akamain päivityksen virheet 15 minuutissa.

Pinckaers ei pitänyt Akamain tavasta toimia: ”Akamain ei olisi pitänyt lähettää toimimatonta ja bugeja täynnä olevaa päivityskoodejaan OpenSSL yhteisöön, samalla kun se väittää päivityksen suojelevan yhtiötä Heartbleed hyökkäyksiltä” –Hakkeri avautui verkkosivuillaan jossa hän myös kertoo enemmän päivityksestä ja siitä miksei se toiminut.

Virhe ymmärretty ja toimet aloitettu:

Akamai käsitti virheen ja päivittää käyttäjiensä SSL-sertifikaatit jotka ovat siis joka tapauksessa olleet haavoittuvaisia aina 2012 elokuusta lähtien.

LÄHDE: Slashdot