Web Performance and Security Company CloudFlare已於2月23日星期四確認,其代碼中的一個錯誤導緻密碼,個人信息,cookie和其他敏感數據在互聯網上洩漏。
CloudFlare提供超過550萬個網站,因此人們不禁擔心,如果烏云密布的安全缺陷可能像災難性的那樣heartbleed這是一個嚴重的錯誤,將個人和財務數據在2014年處於危險之中。
如何發現和固定雲
該問題是由Google項目零研究員Tavis Ormandy發現的。
“當我遇到了一些與我所期望的不符的數據時,我正在研究一個語料庫蒸餾項目。找到垃圾,損壞的數據,標記錯誤的數據或瘋狂的不合格數據並不罕見...但是這段時間的數據格式足夠混淆,我花了一些時間來探討了什麼,想知道是否有什麼問題,想知道我是否有什麼?寫。
他補充說:“我們觀察了加密密鑰,cookie,密碼,郵政數據的塊,甚至HTTPS的請求,請求其他用戶的其他主要Cloudflare託管站點。一旦我們理解了所見和含義,我們就立即停止並聯繫了Cloudflare安全。”
Ormandy向Cloudflare報告了這個問題,該公司立即採取了必要的步驟來解決該問題。
根據Cloudflare,很快發現了問題。該公司關閉了諸如電子郵件obfuscation,自動HTTPS重寫之類的功能,並且服務器端不包括使用引起洩漏的HTML解析器鏈。 Cloudflare聲稱沒有客戶SSL私鑰洩漏。
“在舊金山和倫敦成立的軟件工程,INFOSEC和運營的跨職能團隊,以充分了解基本原因,了解內存洩漏的效果,並與Google和其他搜索引擎合作以刪除任何緩存的HTTP響應,”寫CTO John Graham-Cumming在博客中寫道。
雲彩在七個小時內完全插了。
小蟲子的解剖結構
Cloudflare關於解析器蟲的解剖結構進行了漫長的討論。根本原因是緩衝區超支,其中一小塊代碼引起了問題的怪物。
在代碼中,使用“> =”而不是“ ==”的情況,用英語允許大量數據進入不應該去的地方。這就像在溫暖和冷水池之間有一個有問題的分隔線,使一側的水洩漏到另一側。
根據報告。 Cloudlflare透露,最大的影響時期是2月13日至2月18日,通過平台中的330萬http請求中有1個,可能導致洩漏。
Ormandy和Cloudflare都分享了除了錯誤本身之外,Google緩存的數據和其他搜索引擎使清理過程變得複雜。
你該怎麼辦?
也許雲彩不像剛發出的那樣糟糕,但不可否認的是,如果殺戮開關沒有盡快忽略,那是一場災難。
如果您想知道哪些網站受到影響,此網站列表可能會受到Cloudflare洩漏的影響。
至於您需要採取的措施,最好是安全玩耍更改密碼,特別是對於那些受影響的網站。
雖然洩漏可能並不像Heartble那樣普遍,但只有時間才能證明是否有插頭掉了孔。
