1

Akamai admite errores en OpenSSL en actualización

Akamai acepta que parche que lanzó tiene problemas.
Akamai acepta que parche que lanzó tiene problemas.

Akamai Technologies, cuya red maneja casi un 30 por ciento de todo el tráfico en la red, dijo el domingo que un investigador había encontrado una falla en el código que la empresa había estado ofreciendo a sus clientes para protegerse del bug Heartbleed.

Como resultado, Akamai está volviendo a emitir certificados SSL y llaves de seguridad para crear conexiones encriptadas entre las páginas web de sus clientes y los visitantes de dichos sitios web.

“En resumen, tenemos un bug”, dijo Andy Ellis, CTO de Akamai en un post.

Los clientes de Akamai incluyen algunos de los bancos más grandes del mundo, así como empresas de comercio electrónico y de telecomunicaciones. La empresa, que tiene más de 147,000 servidores en 92 países, es una de las miles de organizaciones y compañías que usan la librería OpenSSL.

Hace dos años, un programador alemán modificó OpenSSL y cometió el error que podría causar que un servidor web divulgara la llave privada usada para crear una conexión SSL, indicada por un candado, u otra data reciente enviada a un servidor, como nombres de usuario y contraseñas. Es uno de los bugs más serios que ha afectado la internet en mucho tiempo.

Los servidores de Akamai habrían sido vulnerables a Heartbleed entre agosto de 2012 y el 4 de abril, según escribió Ellis el viernes. Durante ese periodo, fue posible que los atacantes interceptaran contraseñas o roben otros datos como cookies.

Pero Ellis también escribió que los clientes de Akamai podrían haber sido menos vulnerable a un ataque que usaba Heartbleed si hubieran tenido una llave SSL.

La razón es que Akamai añadió un código personalizado a su implementación de OpenSSL hace una década que modificaba cómo las llaves secretas solían crear una conexión SSL.

Poco después que la falla se hizo pública, Ellis escribió que Akamai estaba confiada que su código proveía una “buna protección” que guardaba el código OpenSSL.

El viernes, un ingeniero principal en Akamai, Rich Salz, escribió en un foro que la compañía decidió lanzar públicamente una variación del código, que había sido usada en Akamai.

Salz avisó que el código no debería ser visto como un parche completo, o usado en un sistema en vivo sin mayor revisión.

El domingo Ellis escribió que un investigador independiente, Willem Pinckaers, había encontrado defectos en él. Pinckaers escribió en su página web que había encontrado errores en menos de 15 minutos.

Akamai “no debería lanzar actualizaciones no funcionales a la comunidad OpenSSL, al mismo tiempo que decía que protegía Akamai en contra del ataque de Heartbleed”, dijo.

Ellis dijo que lanzar nuevas llaves SSL y certificados podría ser rápido en algunos casos, pero aquellos que necesiten validación extra con certificados podrían tomar más tiempo.

Akamai no pudo ser contactada inmediatamente para comentar el domingo.

Fuente: Computerworld / Jeremy Kirk / 14-04-14

Conéctese a la actualidad tecnológica e informática cada mañana. ¡Suscríbase gratis a nuestro Newsletter!