» »

Zaradi hrošča iz Cloudflara več mesecev curljalo

Zaradi hrošča iz Cloudflara več mesecev curljalo

Slo-Tech - V kodi, ki jo uporablja ponudnik spletnih storitev Cloudflare, so odkrili zahrbtnega hrošča, zaradi katerega so od septembra do minulega konca tedna v internet počasi curljali občutljivi podatki. Napako je slučajno odkril Googlov inženir, ki je po odkritju stopil v stik s Cloudflarom. Ta je hitro sestavil dve ekipi inženirjev, eno v Londonu in drugo v San Franciscu, ki sta izmenjaje delali in napako popravili. Po do sedaj zbranih podatkih nepridipravi hrošča niso izkoriščali, ker ga niso poznali.

Tavis Ormandy iz Googlovega programa Project Zero je pri svojem delu naletel na nenavadne odzive, ki so jih Cloudflarovi strežniki vračali kot odgovore na HTTP-zahtevke. Napaka je bila najverjetneje prisotna od 26. septembra, najpogosteje pa se je iz razlogov, ki jih Cloudflare podrobno pojasnjuje, pojavljala med 13. in 18. februarjem. V povprečju je eden na 3,3 milijona zahtevkov vseboval podatke, ki so curljali iz pomnilnika, ker se je jim je v kodo prikradla prekoračitev predpomnilnika (buffer overflow). Zaradi tega so vračali naključne podatke, ki so se nahajali v pomnilniku na prizadetem mestu.

SSL-ključi strank jim sicer niso ušli, so pa na internet pricurljali zasebni ključi, s katerimi si je Cloudflare podpisoval interni promet med svojimi strežniki. Prav tako so na internet leteli deli podatkov v POST, HTTPS-zahtevki, piškotki, gesla in ostalo. Ker se tega ni zavedal nihče, so vse te informacije poindeksirali Googlovi in ostali pajki, zato jih je Cloudflare prosil, da jih ročno pobrišejo iz svojih baz. Cloudflare ima namreč veliko strank, ki imajo zelo občutljive podatke, denimo Uber, Fitbit, OkCupid ipd.

Cloudflare se je na težavo odzval vzorno. Zakrpali so jo v najkrajšem možnem času - prva pomoč je bila na voljo še isti dan, napako pa so v popolnosti odpravili v dveh dneh. Šest dni po obvestilu so na internetu v celoti razkrili, kaj je šlo narobe. Napaka je tičala v parserju HTML, ki ga Cloudflare uporablja za sprotno (on-the-fly) modifikacijo spletnih strani. Tri funkcije (email obfuscation, Server-side excludes in automatic HTTPS rewrites) niso bile primerno implementirane, saj je eno preverjanje pogoja vsebovala enačaj namesto znaka za neenakost.

6 komentarjev

neznanko ::

Juhu.... sedaj pa hitro menjat gesla na vsaj 10 straneh na katerih sem registriran in uporabljajo Cloudflare...

Seznam strani ki uporabljajo: https://github.com/pirate/sites-using-c...

Zgodovina sprememb…

  • spremenil: neznanko ()

WhiteAngel ::

neznanko je izjavil:

saj je eno preverjanje pogoja vsebovala enačaj namesto znaka za neenakost.


Tole pa tako za lase privleceno zveni, da nimajo pojma, kje je leak in se bodo hacki samo se nadaljevali. Jaz grem stran od cloudflara.

Sergio ::

Tako grem jaz, tako gre vsak, kdor čuti cilj v daljavi:
če usoda ustavi mu korak,
on se ji zoperstavi.

pivmik ::

Too big to fail
LP, Gregor GRE^

Ales ::

Cloudflare je en ogromen MITM, ki mu ljudje sami servirajo(mo) svoje podatke. Kaj neki bi lahko bilo s tem narobe...

Niti ni treba, da ima kako ranljivost.

S tem, da je tale luknja katastrofalna. Večina folka se niti ne zaveda razsežnosti.

Zgodovina sprememb…

  • spremenil: Ales ()

čuhalev ::

Ales je izjavil:

Cloudflare je en ogromen MITM, ki mu ljudje sami servirajo(mo) svoje podatke. Kaj neki bi lahko bilo s tem narobe....

Kaj če se čez 10 let izkaže, da je Cloudflare ideja iz NSA. :))


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nemčija: najvarnejši brskalnik je Firefox (strani: 1 2 )

Oddelek: Novice / Brskalniki
6319951 (2764) primoz4p
»

Zakaj je internet minuli teden klecnil

Oddelek: Novice / Omrežja / internet
125791 (3466) nekikr
»

Cloudflare predstavil brezplačni DNS in VPN: 1.1.1.1

Oddelek: Novice / Omrežja / internet
138325 (5439) AštiriL
»

Zaradi hrošča iz Cloudflara več mesecev curljalo

Oddelek: Novice / Varnost
64935 (3420) čuhalev
»

Prestopna sekunda tudi letos ponagajala

Oddelek: Novice / Omrežja / internet
65358 (4106) AndrejO

Več podobnih tem