2017-02-24: Błąd w Cloudflare. Zagrożone dane przekazywane do serwisów go wykorzystujących.
W Cloudflare odnaleziono błąd, który mógł spowodować wyciek poufnych danych przesyłanych między serwisami korzystającymi z ich usług.
Cloudflare to dostawca usług dostarczania treści (CDN) oraz serwerów (DNS), oferuje też zabezpieczenia przed atakami DDoS. Korzystają z tych możliwości różne serwisy, w tym posługujące się komunikacją szyfrowaną do przesyłania wrażliwych danych.
Błąd powodował, że w niektórych przypadkach dochodziło do wycieku treści, która mogła zawierać m.in niezaszyfrowane dane przesyłane przez użytkownika. Takie fragmenty mogły być wyświetlane w treści strony i dostępne publicznie, w tym w wyszukiwarkach internetowych.
Cloudflare informuje, że nie doszło do wycieku samych kluczy prywatnych SSL. Najbardziej zagrożone mogły być połączenia z serwisami między 13 a 18 lutego z jednym potencjalnie zagrożonym na każde 3300000 żądań HTTP za pośrednictwem Cloudflare. Dane z około 161 domen i 770 dokładnych adresów URL zostały także zaindeksowane w wyszukiwarkach, m.in. Google; w porozumieniu z nimi te dane zostały już z nich usunięte, ale mogą jeszcze być znajdywane przez mniejsze wyszukiwarki.
Błędny kod oprogramowania powodował wyciek pamięci, który występował podczas przetwarzania błędnego kodu HTML. Występował tylko w niektórych serwisach, ale powodował wyciek danych serwisów zupełnie niepowiązanych.
Zaleca się wyczyścić sesje przeglądarek oraz zmienić hasła do serwisów wykorzystujących Cloudflare jako serwer pośredniczący
Źródła
edytuj- John Graham-Cumming – Incident report on memory leak caused by Cloudflare parser bug – Blog cloudflare.com, 23 luty 2017