CloudFlare评论Cloudbleed Bug泄漏数据后的代码
内容送货服务CloudFlare承诺在旧代码的缺陷后承诺了持续的代码审查导致内存泄漏暴露在公司网络上的私有数据交换。
“我们对解析器代码进行了全面审查,以寻找任何额外的潜在漏洞,”Matthew Prince,CloudFlare在博客帖子中的联合创始人。
“虽然我们能够在它被报告给我们的几分钟内缓解这个错误,但我们希望确保代码中的其他错误不存在,”他说。
在首席运营官约翰格雷厄姆 - 卡明的博客中发表了一个博客,解释了一个博客,解释了旧代码中的错误导致CloudFlare服务器运行缓冲区的末尾并返回包含私人信息(如身份验证令牌和其他敏感数据)的返回内存。
因此,一些客户的数据同时泄露到服务器内存中的其他CloudFlare客户,其中一些数据被搜索引擎缓存。
Graham-Cumming表示,影响最大的影响是2017年2月2017年2月13日至18日。
除了CloudFlare自己的代码审查外,Prince表示,该公司正在使用外部代码审计公司Veracode查看CloudFlare的代码。
为了满足围绕缓存数据的担忧,他说CloudFlare正在与第三方高速缓存合作到删除泄露的数据。
“直到每一位被删除,我们就不会播放。我们还继续分析CloudFlare的日志和触发异常错误的特定请求。“
虽然承认虫子被称为Cloudbleed,但却是“非常糟糕”,王子说Cloudflare没有证据表明,没有证据表明这虫子在修补之前被恶意地剥削,绝大多数CloudFlare客户没有数据泄露。
阅读更多互联网基础架构安全故事
OpenSSL证书验证假攻击者冒充保护加密保护的网站,电子邮件服务器和虚拟专用网络。我们调查最近历史上最重要的缺陷会影响互联网。Openssl中的Hellbleed错误留下了易受攻击的数百万互联网服务器。在从搜索引擎缓存中审查数万个泄露的数据页面后,他表示,虽然调查人员发现了大量的泄露内部CloudFlare标题和客户饼干,但他们没有找到密码的任何情况,信用卡号码,客户加密密钥或健康记录。
Prince表示,由于分析基于一组样本数据,因此无法得出结论,根本没有敏感数据。但是,他说如果有任何曝光,它似乎并不普遍。
“我们也没有对第三方发现任何缓存页面上的任何敏感数据类型的任何确认的报告,”他写道。
王子通过说Cloudbleed Bug表明,互联网的信任是多少互联网。
“我们知道我们对你失望了,我们深表歉意。我们将继续分享我们发现的东西,因为我们相信信任是关键的,透明度是该信任的基础,“他写道。
Ilia Kolochenko,Web安全公司高科技桥梁首席执行官,称为CloudFlare为公司处理错误报告的方式。
CloudFlare对事件的反应是专业,快速和透明的。它可以作为其他公司的示例,“他说。
然而,Kolochenko表示,他认为臭虫的浑浊名称是不合适的,因为它没有影响世界上的每个公司,而不像Heldbleed。
“Heartbleed引起了几个主要的数据泄露,而CloudFlare事件尚未正式证实了大规模违规行为,”他说,并补充说,仍有许多组织易受悲伤的组织,而CloudFlare的漏洞剥削的所有途径似乎似乎被减轻了。