Web优化公司CloudFlare已确认一个主要的错误导致敏感数据泄漏,包括密码,API键,Cookie等。
Cloudflare提供SSL加密对于数百万的网站而言,泄漏是很大的。在光明的一面,该公司表示尚未发现任何恶意使用这些信息的迹象。同时,由于搜索引擎已经缓存了一些泄漏的信息,因此出现了另一个问题。
Google Project零研究员Tavis Ormandy是第一个发现该问题并在2月18日引起此问题的人,但是自2016年9月22日以来,脆弱性可能已经存在。
来自Cloudflare安全的人可以紧急与我联系。
-Tavis Ormandy(@taviso)2017年2月18日
一天后,Ormandy在Chromium博客文章中解释说,他发现了来自约会网站的完整消息,密码管理人员的密码以及更多数据泄漏。
“我们正在谈论完整的HTTPS请求,客户端IP地址,完整响应,cookie,密码,密钥,数据,所有内容,”说Ormandy。
CloudFlare确认“云彩”泄漏,并解释了为什么
CloudFlare在2月23日星期四自己的详细博客文章中承认了这一问题,并说2月13日开始的最大数据泄漏开始,当时代码的更改每3,300,300 HTTP请求中的一项更改可能会导致内存泄漏结束。对于大型网络的大小Cloudflare,该数字很大,转化为广泛的数据泄漏。
按照Ormandy在Twitter上的消息后,CloudFlare的团队禁用了三个功能,这些功能依赖于问题的根源,并继续使用搜索引擎合作以清除它们所缓存的信息。
Cloudflare解释说,泄漏也称为“云彩“非正式地源于“缓冲区过渡” - 由于代码中存在错误而发生的问题。根据公司的说法,其代码多年来一直存在此错误,但是它一直陷入困境,直到它改变了解析器,并“巧妙地改变了缓冲区”,因此,cloudflare却没有发现新的解析器本身。
客户SSL私钥未泄漏
该公司认为,在某些“异常情况”中,其边缘服务器超出了缓冲区的末端,并带回了包含私人信息的记忆,例如身份验证令牌,HTTP cookie和Post Bosties和Body,以及其他敏感数据,这些数据已被缓存。
“为了避免疑问,CloudFlare客户SSL私钥未泄漏。CloudFlare一直通过不受此错误影响的NGINX的孤立实例终止SSL连接,”亮点公司。
Cloudflare补充说,它宣布了延迟泄漏,因为它首先想确保在公开披露之前删除了搜索引擎的缓存。同时,该公司表示,它搜索了Pastebin和其他此类垃圾场,以检查其中一些数据是否泄漏了数据,但没有发现此类证据。
归根结底,似乎黑客没有利用泄漏的数据。 Cloudflare说,处理潜在泄漏的三个来源只需要七个小时,而Ormandy赞扬了该公司令人印象深刻的快速响应。
但是,用户可能仍然想更新其密码,以确保安全。
