Feil i fiks rammer 30 prosent av internettrafikk
Akamai laget ny feil i lappingen av Heartbleed.
Akamai Technologies, som gjennom egne verts- og buffersystemer til tider håndterer opp til tredve prosent av all Internettrafikk, trodde de hadde tettet sikkerhetshullet Heartbleed i OpenSSL i forrige uke.
Trekker feilfiks
Søndag trakk de feilfiksen de hadde lagt inn i systemene for å tett Heartbleed-sikkerhetshullet i OpenSSL. Løsningen var hjemmeutviklet, og bekrefter nok en gang at menneskelig feil er en stor kilde til sikkerhetshull.
Akamai hevdet selv at himkoket var bedre egnet enn standardlappingen rullet ut av OpenSSL-miljøet.
Selskapet har kunder innen de fleste største bank- og finansinstitusjoner, medier og netthandelssteder. For eksempel er Facebook og Instagram-fotografier som regel bufret hos en av selskapets 147 000 servere, som gjerne står nær brukerne i en av 92 land. Det gir raskere nedlasting og yteevne hos populære nettjenester.
Selskapet fikk meldingen fra en uavhengig sikkerhetskontrollør, uten at det framgår om dette var en hvithacker eller ei, skriver Akamai-teknologidirektør Andy Ellis i en bloggartikkel.
Tidkrevende ny endring
Konsekvensen er at feilfiksen ble reversert og erstattet av en ny, med konsekvensen at alle digitale sertifikater gitt ut etter den gamle metoden ble tilbakekalt og erstattet. Dette vil gå fort i de fleste tilfellene, men avhengig av oppsettet mot tredjepartsautoriseringspartnere vil andre oppleve at det vil ta litt tid. Hvilke forsinkelser dette betyr for sluttbruker er ikke klart.
Feilmeldingen inneholdt også noen andre elementer av kritikk mot Akamai, men det framstår som at selskapet ikke deler dette. De skal imidlertid se på sakene.
I følge nyhetstjenesten til Computerworld har Akamai hatt sikkerhetshullet i OpenSSL siden august 2012, og de fikk ikke tettet det før den 4. april. Som altså introduserte en ny feil.