CloudFlare错误暴露了密码,来自网站的其他敏感数据
DBS现代化计划是一个“无能为力”的“MasterClass”,说MPS
谷歌删除了来自Hoogouts的SMS集成:这就是为什么
政府的宽带服务义务被行业纳入
Techuk呼吁英国采用最近的欧盟贸易协议提升数字部门
机器人行业从福岛的成功和失败中学习
Microsoft对Windows 10 LTSB VOID Allure的支持规则到企业客户
Infosec社区欢迎银行行业专注于网络弹性
Apple在最新的iPhone专利案中赢得Samsung 539米
Reliance Jio Hasten Indian Mobile Consolidation的免费赠品
商业管理员的Skype获取工具来诊断呼叫问题
MPS呼吁询问智能电表推出
新兴行业网络在东盟升起数据保护
英特尔 - 移动式合并,以提高宝马的自动驾驶汽车计划
四分之一的英国人认为他们已经拥有全纤维宽带
2016/17年政府与中小企业的支出下降
机器人可以阅读你的思想来解决他们的错误
Intel比赛在自动驾驶汽车中播放15.3亿美元Mobileye购买
Facebook的Telecom Infra项目是一岁
安全社区敦促为量子计算做好准备
零信任安全模型提高了业务信心
美国陆军展示了它的“Hoverbike”的送货无人机
Venafi首席执行官Jeff Hudson说,加密受到攻击。
参议院投票杀死FCC的宽带隐私规则
Salesforce推出自定义图像识别,因为爱因斯坦去了
VM感知存储先锋TINTRI濒临破产
PizzaExpress推出增强现实足球比赛
AMD的Radeon Memory业务减缓了
亚波蹄车被告知到八月份的涉嫌不公平起诉的决定
94%的Microsoft漏洞可以很容易减轻
ZERTO预览2019年的版本7带有弹性日记帐备份
TSB主题的移动网络钓鱼攻击巨大上升
Yahoo Execs拙劣的回答2014年违规,调查发现
RCN报告发现,由糟糕的穷人和缺乏支持留下来的护士发现
Tesco宣布关闭非食品网站Tesco Direct
新的FCC主席:网络中立规则是一个“错误”
欧洲CIO建立委员会,以推动商业价值
联合国将营销战争的步骤介绍超过5G手段
Linux由非法加密货币矿工为目标
英特尔将AI运营合并到新单位
FCC调查AT&T 911呼叫中断
谷歌法院好莱坞创意社区与洛杉矶云数据中心区域
华为的新智能手表不需要手机
英国警告了华为设备的潜在网络风险
云的符合性:避免云合规性陷阱
诺基亚首席执行官说,云公司正在缩减细胞服务
Mikko Hypponen说,在不太可能在不太可能的令人反感的AI
NVIDIA的Pascal-Powered Jetson TX2计算机吹走了覆盆子PI
报告称,混乱超过5G的价值超过5G
强盗:当软件工程师是英雄时
您的位置:首页 >论坛 > 研究报告 >

CloudFlare错误暴露了密码,来自网站的其他敏感数据

2021-08-08 20:44:06 [来源]:

几个月,CloudFlare的错误“S的内容优化系统公开了用户发送的敏感信息,以使用公司的内容传送网络的网站。数据包括密码,会话cookie,身份验证令牌甚至私人邮件。

CloudFlare作为数百万个网站的反向代理,包括主要互联网服务和财富500强公司,其中它为幕后提供安全和内容优化服务。作为该过程的一部分,该公司的系统在通过其服务器时修改HTML页面,以便将HTTP链接重写为HTTPS,隐藏机器人的某些内容,使能加速移动页面(放大器)和更多。

公开用户数据的错误是公司多年来使用过的旧HTML解析器。但是,它没有激活,直到去年添加了较新的HTML解析器,更改了某些功能活动时使用内部Web服务器缓冲区的方式。

因此,包含潜在敏感信息的内部存储器被泄露到返回给用户以及搜索引擎爬虫的一些响应中。具有敏感数据的网页被缓存,并通过像Google,Yahoo和Bing这样的搜索引擎进行搜索。

谷歌安全工程师Tavis Ormandy在一个不相关的项目工作时,谷歌安全工程师Tavis Ormandy几乎发现了泄漏。一旦他和他的同事意识到他们看到的奇怪数据是什么,而且它来自哪里,他们就会提醒CloudFlare。

这发生在2月18日。CloudFlare立即组装了一个事件响应团队并杀死了几小时内导致大部分泄漏的功能。2月20日将完整的修复到位。其余时间,直到事件在星期四公开披露,都与搜索引擎一起使用,以将敏感数据从缓存中擦洗。

“在谷歌,雅虎,冰等的帮助下,我们发现了770个被缓存的Uris,它包含泄露的内存,”Cloudflare“CTO,在一个博客文章中。“这770个独特的URI涵盖了161个独特的域名。”URI(统一资源标识符)是标识Web上资源的字符串,有时与术语URL(通用资源定位器)互换使用。

根据Graham-Cumming,自9月22日以来,泄漏可能已经进行,但在2月13日和2月1日之间的影响最大,当时电子邮件混淆功能迁移到新的解析器时,影响最大。CloudFlare估计,通过其系统传递的每330万HTTP请求中的每330万个HTTP请求中可能导致内存泄漏。这是所有请求的约0.00003%。

即便如此,由于暴露数据的性质,事件非常严重,CloudFlare客户可能决定采取行动,如强迫用户更改他们的密码。

“i”m从主要约会网站找到私信,来自着名的聊天服务,在线密码管理器数据,来自成人视频网站的帧,酒店预订,“Ormandy在谷歌项目零”的错误跟踪器中写道在事件中。“我们”重新谈论完整的HTTPS请求,客户端IP地址,完整的响应,cookie,密码,密钥,数据,一切。“

此错误的效果类似于OpenSSL中的智慧漏洞,这可能允许攻击者强制HTTPS服务器泄漏可能敏感的内存内容。事实上,Ormandy甚至说它“花了每一盎司的力量不打电话给这个问题。”

但与Heftbley不同,这有可能暴露SSL / TLS私钥,在CloudFlare事件中没有受到影响的钥匙。

“CloudFlare在边缘机器上运行多个单独的进程,这些过程提供过程和内存隔离,”Graham-Cumming表示。“被泄露的内存来自基于nginx的过程,该过程是HTTP处理。它有一个单独的堆从进行SSL,图像重新压缩和缓存,这意味着我们很快就可以确定属于我们客户的SSL私钥无法泄露。“

但是,泄漏的一个私钥已被用来保护CloudFlare机器之间的连接。

为了安全方面,互联网用户可能希望考虑更改他们的在线密码,他们应该在定期做的事情,以便在数据泄露之前。

“CloudFlare是许多最大的消费者网络服务(优步,Fitbit,Okcupid,......),而不是尝试识别CloudFlare上的哪些服务,这可能是最谨慎的是,使用这是旋转所有密码的机会您的网站,“安全研究员Ryan Lackey在博客帖子中表示。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。