Akamai自摆乌龙,修复心脏出血漏洞谨防“破补丁”
作者:星期三, 四月 16, 20140

 heartbleed

 心脏出血漏洞曝光后各大IT厂商纷纷加班加点点灯熬油开发漏洞补丁,例如VMware公司甚至取消复活节假期,连夜赶工计划在复活节(本月19日)一口气推出27项heartbleed补丁。包括思科和Juniper等爆出漏洞的大厂也都上线技术支持页面并紧锣密鼓地开发补丁。(编者按:网络设备的补丁开发周期相对较长)

以上厂商的态度值得肯定,但是广大企业用户也要警惕“补丁上的漏洞”。近日全球领先的CDN厂商Akamai就急于建功而“自摆乌龙”,安全专家发现Akamai为其客户提供的心脏止血用的SSL/TLS算法库补丁本身存在安全漏洞。

Akamai的首席信息安全官Andy Ellis前天在企业博客上羞愤地承认,Akamai向客户提供的用于防止OpenSSL私钥失窃的心脏出血漏洞补丁本身存在缺陷,客户不应当采用。

更糟糕的是,上周五Akamai将有缺陷的补丁提交给OpenSSL社区,用于开发心脏出血漏洞的永久补丁,并提供给超过5亿个存在OpenSSL漏洞的网站升级使用。Akamai的补丁采用了为RSA私钥建立安全区的方法,Akamai采用这种方法保护用户私钥已经超过十年时间,但遗憾的是,在安全专家的仔细审核下,Akamai提供的802行代码的补丁存在致命缺陷,安全专家Willem Pinckaers只花费了15分钟就发现了代码中的bug,Pinckaers愤怒地指责Akamai不应当向OpenSSL社区发送错误如此明显的“破补丁”。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章