CloudFlare error puede haber comprometido más de 1 000 sitios


presentado por Windows que Pro

“tomó cada onza de fuerza no llame a este número”cloudbleed”,” bromeó, Tavis Ormandy de Google, poco antes de describir una seguridad con métodos de ofuscación de Cloudflare que serían ampliamente ser siendo bautizados como eso.

la violación de la seguridad se produjo en el analizador HTML de Cloudflare, que, en lugar de sólo el análisis HTML también inyecta un código adicional. A veces, en lugar de simplemente inyectando el código de la base de datos era utilizar pidió demasiados datos y agarró a otras partes de la memoria de los servidores de Cloudflare – y que los datos eran a veces contraseñas, cookies HTTP, tokens de autenticación, HTTP POST cuerpos y otros elementos sensibles de la información.

y se puso peor, como se describe en su post-mortum de Cloudflare:

el fallo era grave debido a la perdida memoria puede contener información privada, y que había sido cacheada por los motores de búsqueda. También hemos descubierto que explota el bug u otros informes de su existencia.

el período de mayor impacto ya que el 13 de febrero y el 18 de febrero con la orden de 1 a cada 3 300 000 a través de peticiones HTTP de Cloudflare pueden causar pérdidas de memoria (es decir, aproximadamente 0,00003% de solicitudes).

la buena noticia es que significa que la probabilidad de que cualquier canción dada que te preocupas por fuga de datos es ligeramente inferior a sus posibilidades de morir de intoxicación alimentaria y menos probable que usted está siendo alcanzado por un rayo. CloudFlare dijo que no ha habido abusos conocidos en la naturaleza, y Google ha trabajado rápidamente para limpiar su caché de las páginas afectadas.

pero la extensión del posible impacto – casi cualquier sitio que utilice el servicio de proxy de Cloudflare – es increíblemente amplia. Alguien en Github compiló una lista de sitios que utilizan servicios de Cloudflare (ella es más que la lista de proxy, para muchos de ellos no son vulnerables), y otro desarrollador tiene una comprobación rápida para ver si un sitio utiliza Cloudflare. CloudFlare dijo vio en varias fugas de datos 161 áreas únicas, sino que estos datos en gran parte se ha eliminado ahora.

en contraste con software, este ataque parece en gran parte han sido mitigada rápidamente – Cloudflare dijo que era totalmente más en el mundo en menos de 7 horas con atenuación inicial de tan sólo 47 minutos. Pero es un buen recordatorio de que todavía hay muchas incógnitas desconocidas que nos dejan a todos muy vulnerables.