Web優化公司CloudFlare已確認一個主要的錯誤導致敏感數據洩漏,包括密碼,API鍵,Cookie等。
Cloudflare提供SSL加密對於數百萬的網站而言,洩漏是很大的。在光明的一面,該公司表示尚未發現任何惡意使用這些信息的跡象。同時,由於搜索引擎已經緩存了一些洩漏的信息,因此出現了另一個問題。
Google Project零研究員Tavis Ormandy是第一個發現該問題並在2月18日引起此問題的人,但是自2016年9月22日以來,脆弱性可能已經存在。
來自Cloudflare安全的人可以緊急與我聯繫。
-Tavis Ormandy(@taviso)2017年2月18日
一天后,Ormandy在Chromium博客文章中解釋說,他發現了來自約會網站的完整消息,密碼管理人員的密碼以及更多數據洩漏。
“我們正在談論完整的HTTPS請求,客戶端IP地址,完整響應,cookie,密碼,密鑰,數據,所有內容,”說Ormandy。
CloudFlare確認“雲彩”洩漏,並解釋了為什麼
CloudFlare在2月23日星期四自己的詳細博客文章中承認了這一問題,並說2月13日開始的最大數據洩漏開始,當時代碼的更改每3,300,300 HTTP請求中的一項更改可能會導致內存洩漏結束。對於大型網絡的大小Cloudflare,該數字很大,轉化為廣泛的數據洩漏。
按照Ormandy在Twitter上的消息後,CloudFlare的團隊禁用了三個功能,這些功能依賴於問題的根源,並繼續使用搜索引擎合作以清除它們所緩存的信息。
Cloudflare解釋說,洩漏也稱為“雲彩“非正式地源於“緩衝區過渡” - 由於代碼中存在錯誤而發生的問題。根據公司的說法,其代碼多年來一直存在此錯誤,但是它一直陷入困境,直到它改變了解析器,並“巧妙地改變了緩衝區”,因此,cloudflare卻沒有發現新的解析器本身。
客戶SSL私鑰未洩漏
該公司認為,在某些“異常情況”中,其邊緣服務器超出了緩衝區的末端,並帶回了包含私人信息的記憶,例如身份驗證令牌,HTTP cookie和Post Bosties和Body,以及其他敏感數據,這些數據已被緩存。
“為了避免疑問,CloudFlare客戶SSL私鑰未洩漏。CloudFlare一直通過不受此錯誤影響的NGINX的孤立實例終止SSL連接,”亮點公司。
Cloudflare補充說,它宣布了延遲洩漏,因為它首先想確保在公開披露之前刪除了搜索引擎的緩存。同時,該公司表示,它搜索了Pastebin和其他此類垃圾場,以檢查其中一些數據是否洩漏了數據,但沒有發現此類證據。
歸根結底,似乎黑客沒有利用洩漏的數據。 Cloudflare說,處理潛在洩漏的三個來源只花了七個小時,而Ormandy讚揚了該公司令人印象深刻的快速響應。
但是,用戶可能仍然想更新其密碼,以確保安全。
