代码缺陷导致 CloudFlare 泄露大量客户站点的密码等私密信息

简介:

据外媒报道,知名网络优化服务(CDN)提供商 CloudFlare 最近遭遇了一起严重的泄露事件,包括 cookies、API 键值、以及密码等在内的许多敏感个人信息被曝光。另据昨晚一篇博文的详细披露,该公司为数百上千万个互联网站点提供 SSL 加密。虽然 CloudFlare 当前暂未证实这批信息被恶意利用,但搜索引擎上的部分缓存又是另一个问题。


ceacf03eddd0bb540b6cfaea90baf2b347db1dff

2 月 18 号的时候,在谷歌 Project Zero 安全小组工作的 Travis Ormandy 最先在 Twitter 上爆料了此事。但实际上,这个缺陷或许可以追溯至去年 9 月 22 号。

CloudFlare 表示,规模最大的一次信息泄露始于 2 月 13 日,当时发生的代码异动表明每秒 3,300,300 次的 HTTP 请求可能导致了内存溢出。


037e558f3448df7717f3a5b55f0b94b274cc6d8f

在被缓存的数据中,Ormandy 看到了某约会站点上的预订酒店和密码等完整信息。他在 2 月 19 号写到:

我不知道 CloudFlare 背后究竟有多少互联网站点,直到发生了这件事。这包括完整的 https 请求、客户端 IP 地址、完整的响应、cookies、密码、键值、日期等一切内容。

在 Ormandy 发布了推文之后,CloudFlare 工程师禁用了导致出现问题的三项功能代码,并与搜索引擎方携手清理缓存信息。

据了解,Cloudflare 的 EmailObfuscation、Server-SideExcludes 和 AutomaticHTTPS Rewrites 这些函数正是此次泄露的罪魁祸首。

这家公司决定为其边缘服务器开发一个新的 HTML 解析器时,问题就出现了。该解析器是使用 Ragel 编写的,随后转变成机器生成的 C 代码。这段代码存在页面上不成对出现的 HTML 标签触发的缓冲区溢出安全漏洞。这个有缺陷的指针检查源代码本该阻止程序覆盖内存内容:

/*generated code. p = pointer, pe = end of buffer */
if( ++p == pe )
goto _test_eof;

结果发生的一幕是,在别的地方,p 变得大于 pe,因而避免了长度检查,让缓冲区得以溢出额外的信息。这最终导致了 Web 会话泄露。

本文来自开源中国社区 [http://www.oschina.net]

目录
相关文章
|
7月前
|
存储 安全 网络安全
Pikachu敏感信息泄露通关解析
Pikachu敏感信息泄露通关解析
|
XML SQL 安全
【web渗透思路】敏感信息泄露(网站+用户+服务器)
【web渗透思路】敏感信息泄露(网站+用户+服务器)
698 0
【web渗透思路】敏感信息泄露(网站+用户+服务器)
|
开发者
Facebook对泄露用户信息独立开发者发出警告
北京时间10月19日凌晨消息,据国外媒体报道,周一在《华尔街日报》报道Facebook一些应用软件正在共享用户的身份信息后,该网站向独立开发者发出了严厉警告。 先前有报告称,Facebook的某些应用将用户个人信息不恰当地与广告商和互联网追踪公司分享。
884 0
|
安全 数据库 数据安全/隐私保护
如何解决网站被篡改提示该站点可能受到黑客攻击,部分页面已被非法篡改!
最近一段时间,我们SINE安全公司一连接到数十个公司网站被跳转到彩票,博彩网站上去,客户反映从百度搜索网站进去,直接跳转到彩票网站上,直接输入网址没有跳转,导致客户网站的流量急剧下滑,做的百度推广跟搜狗推广,都给彩票网站做广告了,公司领导高度重视网站安全的问题,因为给公司的形象以及名誉带来的损失太大了,我们安排安全技术人员对其网站进行全面的网站安全检测,对网站存在的漏洞,以及木马后门进行全面的清除与漏洞修复,安全加固。
6753 0
|
安全 数据安全/隐私保护
“云出血”漏洞凶猛!CloudFlare泄露海量用户信息
本文讲的是“云出血”漏洞凶猛!CloudFlare泄露海量用户信息,OpenSSL的“心脏出血”让人心有余悸,如今著名的网络服务商CloudFlare又曝出“云出血”漏洞,导致用户信息在互联网上泄露长达数月时间。不过幸运的是,中国用户并未受到此次事故的影响。
1904 0
|
数据安全/隐私保护 安全
250万用户敏感信息泄露,Xbox和Playstation论坛已经没有隐私了
本文讲的是250万用户敏感信息泄露,Xbox和Playstation论坛已经没有隐私了,如果你在Xbox360ISO.com和PSPISO.com平台上有开通账户,那么请你赶紧重置密码。原因是,2015年末这两个网站已经被无名黑客入侵,受影响用户的账号信息已经散播至网上。
1381 0
|
安全 分布式数据库
Google 404页面暗藏漏洞,可泄漏服务器内部信息
本文讲的是Google 404页面暗藏漏洞,可泄漏服务器内部信息,今年1月份,当我正在查找Google的一些服务时,发现了https://login.corp.google.com,一个简单的用于Google员工登录的页面:
2209 0
|
安全 数据安全/隐私保护 API
全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?
本文讲的是全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?,前不久美国国家标准和技术协会(NIST)发布《数字身份验证指南(DAG)》的最新草案,建议企业定期检查用户是否使用了已泄漏密码。
6196 0