据外媒报道,知名网络优化服务(CDN)提供商 CloudFlare 最近遭遇了一起严重的泄露事件,包括 cookies、API 键值、以及密码等在内的许多敏感个人信息被曝光。另据昨晚一篇博文的详细披露,该公司为数百上千万个互联网站点提供 SSL 加密。虽然 CloudFlare 当前暂未证实这批信息被恶意利用,但搜索引擎上的部分缓存又是另一个问题。

xinxixielou

2 月 18 号的时候,在谷歌 Project Zero 安全小组工作的 Travis Ormandy 最先在 Twitter 上爆料了此事。但实际上,这个缺陷或许可以追溯至去年 9 月 22 号。

CloudFlare 表示,规模最大的一次信息泄露始于 2 月 13 日,当时发生的代码异动表明每秒 3,300,300 次的 HTTP 请求可能导致了内存溢出。

xinxianquan

在被缓存的数据中,Ormandy 看到了某约会站点上的预订酒店和密码等完整信息。他在 2 月 19 号写到:

我不知道 CloudFlare 背后究竟有多少互联网站点,直到发生了这件事。这包括完整的 https 请求、客户端 IP 地址、完整的响应、cookies、密码、键值、日期等一切内容。

在 Ormandy 发布了推文之后,CloudFlare 工程师禁用了导致出现问题的三项功能代码,并与搜索引擎方携手清理缓存信息。

据了解,Cloudflare 的 EmailObfuscation、Server-SideExcludes 和 AutomaticHTTPS Rewrites 这些函数正是此次泄露的罪魁祸首。

这家公司决定为其边缘服务器开发一个新的 HTML 解析器时,问题就出现了。该解析器是使用 Ragel 编写的,随后转变成机器生成的 C 代码。这段代码存在页面上不成对出现的 HTML 标签触发的缓冲区溢出安全漏洞。这个有缺陷的指针检查源代码本该阻止程序覆盖内存内容:

/*generated code. p = pointer, pe = end of buffer */

if( ++p == pe )

goto _test_eof;

结果发生的一幕是,在别的地方,p 变得大于 pe,因而避免了长度检查,让缓冲区得以溢出额外的信息。这最终导致了 Web 会话泄露。

关注中国IDC圈官方微信:idc-quan或微信号:821496803 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2017-05-17 21:04:43
市场情报 不甘失败!网宿科技密谋针对云服务商三大杀招
最近,与CDN有关的话题,引发了业内的热烈讨论。如“云服务商将占据80% CDN市场份额,传统CDN或将终结”、“趴在门口的云计算,盯上了屋内狂奔的CDN”、“市场和价格被马云 <详情>
2017-05-17 15:31:21
市场情报 信息基础设施发展4大态势 CDN将更具智能化元素
随着以信息技术为核心的新一轮科技革命的孕育兴起,互联网日益成为创新驱动发展的先导力量,信息基础设施成为新一轮科技名的基石。 <详情>
2017-05-17 09:19:00
国内资讯 当CDN遇上对象存储:完美!
CDN技术在今天的网络环境下,已经是“无孔不入”。我们怎样利用好这门技术为我们服务。让它与越来越多的新的技术和产品相结合,更好的为我们这个时代服务。 <详情>
2017-05-05 09:49:00
国内资讯 CDN丨价格竞争日趋白热化,行业或将“重新书写”
在中国,“双寡头”在十几年的掘金中成为最重要的行业角色,而云计算、物联网、移动直播等多样化的互联网应用形式则将CDN 带入了新的黄金期。当前,全球CDN市场复合年增长 <详情>
2017-05-02 13:19:03
国际资讯 BAT入局CDN? 创业板"老热点"网宿科技产融遭遇战
多年来,CDN行业一直是网宿科技、蓝汛(CCIH)等传统厂商的天下。伴随着阿里云、腾讯云、百度云等互联网云厂商都已开始进入CDN行业,CDN行业竞争激烈。 <详情>