代码缺陷导致 CloudFlare 泄露大量客户站点的密码等私密信息-阿里云开发者社区

开发者社区> 寒凝雪> 正文

代码缺陷导致 CloudFlare 泄露大量客户站点的密码等私密信息

简介:
+关注继续查看

据外媒报道,知名网络优化服务(CDN)提供商 CloudFlare 最近遭遇了一起严重的泄露事件,包括 cookies、API 键值、以及密码等在内的许多敏感个人信息被曝光。另据昨晚一篇博文的详细披露,该公司为数百上千万个互联网站点提供 SSL 加密。虽然 CloudFlare 当前暂未证实这批信息被恶意利用,但搜索引擎上的部分缓存又是另一个问题。


ceacf03eddd0bb540b6cfaea90baf2b347db1dff

2 月 18 号的时候,在谷歌 Project Zero 安全小组工作的 Travis Ormandy 最先在 Twitter 上爆料了此事。但实际上,这个缺陷或许可以追溯至去年 9 月 22 号。

CloudFlare 表示,规模最大的一次信息泄露始于 2 月 13 日,当时发生的代码异动表明每秒 3,300,300 次的 HTTP 请求可能导致了内存溢出。


037e558f3448df7717f3a5b55f0b94b274cc6d8f

在被缓存的数据中,Ormandy 看到了某约会站点上的预订酒店和密码等完整信息。他在 2 月 19 号写到:

我不知道 CloudFlare 背后究竟有多少互联网站点,直到发生了这件事。这包括完整的 https 请求、客户端 IP 地址、完整的响应、cookies、密码、键值、日期等一切内容。

在 Ormandy 发布了推文之后,CloudFlare 工程师禁用了导致出现问题的三项功能代码,并与搜索引擎方携手清理缓存信息。

据了解,Cloudflare 的 EmailObfuscation、Server-SideExcludes 和 AutomaticHTTPS Rewrites 这些函数正是此次泄露的罪魁祸首。

这家公司决定为其边缘服务器开发一个新的 HTML 解析器时,问题就出现了。该解析器是使用 Ragel 编写的,随后转变成机器生成的 C 代码。这段代码存在页面上不成对出现的 HTML 标签触发的缓冲区溢出安全漏洞。这个有缺陷的指针检查源代码本该阻止程序覆盖内存内容:

/*generated code. p = pointer, pe = end of buffer */
if( ++p == pe )
goto _test_eof;

结果发生的一幕是,在别的地方,p 变得大于 pe,因而避免了长度检查,让缓冲区得以溢出额外的信息。这最终导致了 Web 会话泄露。

本文来自开源中国社区 [http://www.oschina.net]

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
得到Go程序的汇编代码的方法
有多种方式可以获得Go程序的汇编代码, 尽管输出的格式有些不同,但是都是方便阅读的汇编代码,可以帮助我们更好的了解程序的底层运行方式。 我们看下面一段代码, 它是sync.Once的实现,去掉了不必要的注释,复制出来用来研究的一段小代码: once.
20918 0
全志 A64 linux 通过设备树写LED驱动(附参考代码)
开发平台 芯灵思Sinlinx A64 内存: 1GB 存储: 4GB详细参数 https://m.tb.cn/h.3wMaSKm开发板交流群 641395230 全志A64设备树结构体 #include <linux/of.
2575 0
visual studio编写C#代码时“未能从程序集.....中加载类型”和“找不到方法”的一种可能的解决办法
编译前报错:$exception    {"未能从程序集“XSW.MySQLDAL, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null”中加载类型“XSW.MySQLDAL.EnterpriseLibraryProductDAL”。
1257 0
分享实录 | 阿里巴巴自研代码管理平台技术解密
近日,阿里巴巴旗下企业级一站式DevOps平台——阿里云·云效正式开启公测,为了让广大开发者更好地了解“新云效”,《云效说码》栏目特别策划了《为云研发而生 解密云效公测版专场》系列分享,邀请了5位阿里巴巴技术专家通过视频直播的方式与大家在线交流,分享云效产品的亮点和技术优势。
2834 0
全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?
本文讲的是全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?,前不久美国国家标准和技术协会(NIST)发布《数字身份验证指南(DAG)》的最新草案,建议企业定期检查用户是否使用了已泄漏密码。
4500 0
+关注
5854
文章
223
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载