CloudFlare错误暴露了密码,来自网站的其他敏感数据
几个月,CloudFlare的错误“S的内容优化系统公开了用户发送的敏感信息,以使用公司的内容传送网络的网站。数据包括密码,会话cookie,身份验证令牌甚至私人邮件。
CloudFlare作为数百万个网站的反向代理,包括主要互联网服务和财富500强公司,其中它为幕后提供安全和内容优化服务。作为该过程的一部分,该公司的系统在通过其服务器时修改HTML页面,以便将HTTP链接重写为HTTPS,隐藏机器人的某些内容,使能加速移动页面(放大器)和更多。
公开用户数据的错误是公司多年来使用过的旧HTML解析器。但是,它没有激活,直到去年添加了较新的HTML解析器,更改了某些功能活动时使用内部Web服务器缓冲区的方式。
因此,包含潜在敏感信息的内部存储器被泄露到返回给用户以及搜索引擎爬虫的一些响应中。具有敏感数据的网页被缓存,并通过像Google,Yahoo和Bing这样的搜索引擎进行搜索。
谷歌安全工程师Tavis Ormandy在一个不相关的项目工作时,谷歌安全工程师Tavis Ormandy几乎发现了泄漏。一旦他和他的同事意识到他们看到的奇怪数据是什么,而且它来自哪里,他们就会提醒CloudFlare。
这发生在2月18日。CloudFlare立即组装了一个事件响应团队并杀死了几小时内导致大部分泄漏的功能。2月20日将完整的修复到位。其余时间,直到事件在星期四公开披露,都与搜索引擎一起使用,以将敏感数据从缓存中擦洗。
“在谷歌,雅虎,冰等的帮助下,我们发现了770个被缓存的Uris,它包含泄露的内存,”Cloudflare“CTO,在一个博客文章中。“这770个独特的URI涵盖了161个独特的域名。”URI(统一资源标识符)是标识Web上资源的字符串,有时与术语URL(通用资源定位器)互换使用。
根据Graham-Cumming,自9月22日以来,泄漏可能已经进行,但在2月13日和2月1日之间的影响最大,当时电子邮件混淆功能迁移到新的解析器时,影响最大。CloudFlare估计,通过其系统传递的每330万HTTP请求中的每330万个HTTP请求中可能导致内存泄漏。这是所有请求的约0.00003%。
即便如此,由于暴露数据的性质,事件非常严重,CloudFlare客户可能决定采取行动,如强迫用户更改他们的密码。
“i”m从主要约会网站找到私信,来自着名的聊天服务,在线密码管理器数据,来自成人视频网站的帧,酒店预订,“Ormandy在谷歌项目零”的错误跟踪器中写道在事件中。“我们”重新谈论完整的HTTPS请求,客户端IP地址,完整的响应,cookie,密码,密钥,数据,一切。“
此错误的效果类似于OpenSSL中的智慧漏洞,这可能允许攻击者强制HTTPS服务器泄漏可能敏感的内存内容。事实上,Ormandy甚至说它“花了每一盎司的力量不打电话给这个问题。”
但与Heftbley不同,这有可能暴露SSL / TLS私钥,在CloudFlare事件中没有受到影响的钥匙。
“CloudFlare在边缘机器上运行多个单独的进程,这些过程提供过程和内存隔离,”Graham-Cumming表示。“被泄露的内存来自基于nginx的过程,该过程是HTTP处理。它有一个单独的堆从进行SSL,图像重新压缩和缓存,这意味着我们很快就可以确定属于我们客户的SSL私钥无法泄露。“
但是,泄漏的一个私钥已被用来保护CloudFlare机器之间的连接。
为了安全方面,互联网用户可能希望考虑更改他们的在线密码,他们应该在定期做的事情,以便在数据泄露之前。
“CloudFlare是许多最大的消费者网络服务(优步,Fitbit,Okcupid,......),而不是尝试识别CloudFlare上的哪些服务,这可能是最谨慎的是,使用这是旋转所有密码的机会您的网站,“安全研究员Ryan Lackey在博客帖子中表示。