上周五,2 月 18 日,下午晚些时候发送的一条小推文引起了 CloudFlare 的恐慌,CloudFlare 是一家为数千个网站提供 Web 路由服务的服务提供商。“CloudFlare 安全团队的人可以紧急联系我吗””,谷歌零项目安全研究员塔维斯·奥曼迪(Tavis Ormandy)写道。来自这样一位公认的专家的消息立即让 CloudFlare 工程师保持高度警惕。
https://twitter.com/taviso/status/832744397800214528
不得不说,形势相当严峻。研究人员发现 CloudFlare 基础设施内存在一般数据泄露问题。当您浏览该服务提供商的客户网站时,您可能会在响应中收到一大堆与原始请求无关的敏感数据:HTTP 代码片段、cookie、密码、身份验证令牌、标识数据等由于搜索引擎查询也会出现此错误,因此这些敏感数据最终也会出现在搜索引擎(例如 Google、Bing 或 Yahoo)的缓存中。对于服务提供商来说,这是非常恼人的扩散,而服务提供商恰恰应该保护其客户的网络。
在谷歌零号计划,Tavis Ormandy 发布了一些屏幕截图,以显示我们在这些查询中可以找到的所有内容。以下是 OK Cupid 交友网站用户的敏感数据。
缓冲区溢出
幸运的是,很快就找到了错误的根源。这是 CloudFlare“解析器”中的一个小编程错误,也就是说,该程序能够动态分析和修改通过 HTTP 请求传递的 HTML 代码(例如,插入 Google Analytics 标签、重写 HTML 链接或调整代码为移动 AMP 格式)。因此,不良的指针管理可能会导致缓冲区溢出,从而导致将数据任意插入到查询中。由于 CloudFlare 的基础设施是共享的,因此该数据可能来自该服务提供商管理的另一个站点上进行的任何交易。保证混音效果。
好消息是,这次数据泄露不是系统性的,也不涉及 TLS/SSL 私钥。根据 CloudFlare 的说法,只有一小部分请求 (0.00003%) 受到影响。此外,工程师们没有注意到任何恶意利用此缺陷的情况,该缺陷已得到纠正。呼,我们得救了。
来源:云耀光