CloudFlare评论Cloudbleed Bug泄漏数据后的代码
边缘的Windows 10浏览器的份额继续幻灯片
阿联酋银行建立预测营销模式
政府对议程提出了人工智能
MWC 2017:全球移动运营商使用大数据进行社会良好
Microsoft PowerApps Beta让工作人员在不编码的情况下建立自己的应用程序
优步测试匹兹堡的自动驾驶汽车
过渡到云:Adobe击中了公园
微软的首席执行官解释了为什么他的公司起诉美国政府
驾驶改变是APAC数字转换的关键障碍
DARPA演示精神控制的机器人手臂
Gemalto在瑞典密封数字身份证交易
Microsoft用KB 3159706替换WSUS补丁KB 3148812
Hololens测试了桥梁检查
过时的IT预算模型缓慢企业云采用,CIO研究表明
PizzaExpress UAE升级客户Wi-Fi并添加分析平台
政府未能满足招聘计算教师的目标
Brexit Bryain Power Power的工业战略
使身份管理成为云部署的基础
超过一百万的Netgear路由器担心劫持劫持
桑坦德银行与IBM为员工开发移动应用程序
Apple Investors恐慌为iPhone销售坦克
Windows 10在速度上达到20%的份额到6月份
STEMETTES推出纪录片关于发件箱孵化程序
商业IOT采用进展比预期慢
PAC说,紧急服务网络不会及时准备好准备好
Oracle-Google试验Android于周一开始。这是您需要知道的
微软通过Office 365和团队提供企业聊天
赎金软件攻击代表房屋得到雅虎邮件被封锁了
安全公司同意许多其他人使用恐惧来推动销售
需要更多的分析速度?Cray希望在大数据下亮火
云项目成功为艾斯特胃口提供更多
荷兰技术中心正在促进下一个谷歌
美国男子因黑客入侵名人账户
放松:KB 3035583修补程序不覆盖Windows 10注册表设置
面部识别应用查找面可能会让您想要删除所有在线照片
Microsoft使用DNA制作大数据真的很小
GDS信号意图将公共部门移出PSN
法官部分解除了Twitter对政府的监督案
谨防打印机求助者骗局,警告NTS Ecrime团队
消费者通过过时的宽带交易失去数百万
OpenReach推出增强的管道和杆映射服务
3D印刷行业在四年内三倍到21亿美元
FAA在由英特尔首席执行官领导的无人机上设立咨询小组
CIO采访:BAS ANNEVELD,GUMTREE
瑞典市järfälla签署了1400万欧元外包交易
Nest为Thread IoT协议组进行了新的总统和新的开源实现
公共部门IT供应商爆炸CCS超过G-Cloud委员会收费
研究人员说,支付赎金软件攻击者延续攻击
谷歌和Oracle的Android版权战斗现在由陪审团达到陪审团
您的位置:首页 >论坛 > 研究报告 >

CloudFlare评论Cloudbleed Bug泄漏数据后的代码

2021-07-02 20:44:12 [来源]:

内容送货服务CloudFlare承诺在旧代码的缺陷后承诺了持续的代码审查导致内存泄漏暴露在公司网络上的私有数据交换。

“我们对解析器代码进行了全面审查,以寻找任何额外的潜在漏洞,”Matthew Prince,CloudFlare在博客帖子中的联合创始人。

“虽然我们能够在它被报告给我们的几分钟内缓解这个错误,但我们希望确保代码中的其他错误不存在,”他说。

在首席运营官约翰格雷厄姆 - 卡明的博客中发表了一个博客,解释了一个博客,解释了旧代码中的错误导致CloudFlare服务器运行缓冲区的末尾并返回包含私人信息(如身份验证令牌和其他敏感数据)的返回内存。

因此,一些客户的数据同时泄露到服务器内存中的其他CloudFlare客户,其中一些数据被搜索引擎缓存。

Graham-Cumming表示,影响最大的影响是2017年2月2017年2月13日至18日。

除了CloudFlare自己的代码审查外,Prince表示,该公司正在使用外部代码审计公司Veracode查看CloudFlare的代码。

为了满足围绕缓存数据的担忧,他说CloudFlare正在与第三方高速缓存合作到删除泄露的数据。

“直到每一位被删除,我们就不会播放。我们还继续分析CloudFlare的日志和触发异常错误的特定请求。“

虽然承认虫子被称为Cloudbleed,但却是“非常糟糕”,王子说Cloudflare没有证据表明,没有证据表明这虫子在修补之前被恶意地剥削,绝大多数CloudFlare客户没有数据泄露。

阅读更多互联网基础架构安全故事

OpenSSL证书验证假攻击者冒充保护加密保护的网站,电子邮件服务器和虚拟专用网络。我们调查最近历史上最重要的缺陷会影响互联网。Openssl中的Hellbleed错误留下了易受攻击的数百万互联网服务器。

在从搜索引擎缓存中审查数万个泄露的数据页面后,他表示,虽然调查人员发现了大量的泄露内部CloudFlare标题和客户饼干,但他们没有找到密码的任何情况,信用卡号码,客户加密密钥或健康记录。

Prince表示,由于分析基于一组样本数据,因此无法得出结论,根本没有敏感数据。但是,他说如果有任何曝光,它似乎并不普遍。

“我们也没有对第三方发现任何缓存页面上的任何敏感数据类型的任何确认的报告,”他写道。

王子通过说Cloudbleed Bug表明,互联网的信任是多少互联网。

“我们知道我们对你失望了,我们深表歉意。我们将继续分享我们发现的东西,因为我们相信信任是关键的,透明度是该信任的基础,“他写道。

Ilia Kolochenko,Web安全公司高科技桥梁首席执行官,称为CloudFlare为公司处理错误报告的方式。

CloudFlare对事件的反应是专业,快速和透明的。它可以作为其他公司的示例,“他说。

然而,Kolochenko表示,他认为臭虫的浑浊名称是不合适的,因为它没有影响世界上的每个公司,而不像Heldbleed。

“Heartbleed引起了几个主要的数据泄露,而CloudFlare事件尚未正式证实了大规模违规行为,”他说,并补充说,仍有许多组织易受悲伤的组织,而CloudFlare的漏洞剥削的所有途径似乎似乎被减轻了。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。