2017-02-24: Błąd w Cloudflare. Zagrożone dane przekazywane do serwisów go wykorzystujących.

piątek, 24 lutego 2017

W Cloudflare odnaleziono błąd, który mógł spowodować wyciek poufnych danych przesyłanych między serwisami korzystającymi z ich usług.

Cloudflare to dostawca usług dostarczania treści (CDN) oraz serwerów (DNS), oferuje też zabezpieczenia przed atakami DDoS. Korzystają z tych możliwości różne serwisy, w tym posługujące się komunikacją szyfrowaną do przesyłania wrażliwych danych.

Błąd powodował, że w niektórych przypadkach dochodziło do wycieku treści, która mogła zawierać m.in niezaszyfrowane dane przesyłane przez użytkownika. Takie fragmenty mogły być wyświetlane w treści strony i dostępne publicznie, w tym w wyszukiwarkach internetowych.

Cloudflare informuje, że nie doszło do wycieku samych kluczy prywatnych SSL. Najbardziej zagrożone mogły być połączenia z serwisami między 13 a 18 lutego z jednym potencjalnie zagrożonym na każde 3300000 żądań HTTP za pośrednictwem Cloudflare. Dane z około 161 domen i 770 dokładnych adresów URL zostały także zaindeksowane w wyszukiwarkach, m.in. Google; w porozumieniu z nimi te dane zostały już z nich usunięte, ale mogą jeszcze być znajdywane przez mniejsze wyszukiwarki.

Błędny kod oprogramowania powodował wyciek pamięci, który występował podczas przetwarzania błędnego kodu HTML. Występował tylko w niektórych serwisach, ale powodował wyciek danych serwisów zupełnie niepowiązanych.

Zaleca się wyczyścić sesje przeglądarek oraz zmienić hasła do serwisów wykorzystujących Cloudflare jako serwer pośredniczący

Źródła edytuj