The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

24.02.2017 22:35  Уязвимость в Cloudflare привела к утечке конфиденциальной информации клиентов

В одной из крупнейших сетей доставки контента Cloudflare выявлена ошибка, которая привела к утечке неинициализированных отрывков оперативной памяти прокси-серверов, которые могли содержать конфиденциальные данные, фигурирующие при обработке запросов других сайтов. Проблема выявлена сотрудниками Google и получила кодовое имя "cloudbleed" по аналогии с уязвимостью "Heartbleed".

Утечки совершались с 22 сентября 2016 года по 18 февраля 2017 года и приводили к появлению в открытом доступе такой информации, как пароли, токены OAut, сессионные cookie, закрытые сообщения, ключи для доступа к API и другие конфиденциальные данные. Информация утекала в составе ответов на случайные запросы. Пик утечки пришёлся на 13-18 февраля, в эти дни ежедневно отдавалось 100-200 тысяч страниц с частями неинициализированных блоков памяти, которые могли содержать приватные данные сайтов.

Хуже всего, что утекающие в результате ошибки данные оседали в кэше поисковых систем и могли быть выловлены злоумышленниками через отправку типовых поисковых запросов. Представители Cloudflare выявили в кэше Google, Bing и Yahoo 770 уникальных ссылок, содержащих утечки блоков памяти (Google вычистил проблемные страницы из поискового индекса и кэша, но в Bing и Yahoo такие страницы до сих пор сохранены). По предварительной оценке в числе вероятных жертв проблемы насчитывается около 4.3 млн доменов, среди которых многие известные сайты, в том числе отечественные, которые были клиентами Cloudflare.

Причиной утечки стала ошибка в реализации парсера разметки HTML, применяемого для разбора и замены содержимого страниц (например, замены ссылок с http:// на https://, скрытия email-адресов и защиты частей страницы от вредоносных ботов). Парсер был написан с использованием компилятора Ragel и содержал ошибку в условии проверки конца буфера. В частности, указатель проверялся на то, равен ли он концу буфера, но не учитывалась ситуация, когда указатель мог указывать за пределы конца буфера (т.е. вместо оператора "больше или равно", использовался оператор "равно").

Проблема проявлялась при наличии в обрабатываемой странице определённой комбинации несбалансированных HTML-тегов, например, когда в конце страницы находится незакрытый тег "‹script type=". Из-за ошибки к ответу на запрос присоединялся неинициализированный кусок памяти, следующий за концом рабочего буфера, который содержал данные, используемые в результате обработки других запросов на том же прокси-сервере. Например, читая какой-то сайт можно было получить в довесок блок с данными, который мог содержать пароль или сессионные cookie клиентов Uber, 1Password, FitBit, OKCupid или Digitalocean. При особой удаче можно было получить приватный ключ, используемый для организации соединения между серверами Cloudflare.



  1. Главная ссылка к новости (https://blog.cloudflare.com/in...)
  2. OpenNews: Капча CloudFlare может применяться для деанонимизации пользователей Tor
  3. OpenNews: CloudFlare применил NetMap для повышения скорости обработки пакетов в Linux
  4. OpenNews: Сеть доставки контента CloudFlare представила Universal SSL
  5. OpenNews: В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей
  6. OpenNews: Heartbleed-уязвимость в OpenSSL могла эксплуатироваться с ноября прошлого года
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: cloudflare
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, ы, 22:50, 24/02/2017 [ответить] [смотреть все]
  • +11 +/
    Ой, как неудобно получилость!
     
  • 1.3, Аноним, 23:03, 24/02/2017 [ответить] [смотреть все]
  • +7 +/
    учитывая, что сейчас каждый 2ой сайт "натянут" на эту штуку.
    может облакофилы и прочие любители новых "технологий" задумаются. хотя врядли.
     
     
  • 2.4, Аноним, 23:06, 24/02/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +1 +/
    и поделом кстати со своими капчами они реально задрали заходишь на какой-нибуд... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, Аноним, 00:08, 25/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Гугл давно открывал? При каждом открытии разгадать капчу требуют.
     
     
  • 4.10, Аноним, 00:22, 25/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Хз, за прошлый год раза 2-3 просил, в этом ни разу Гуглом пользуюсь частенько ... весь текст скрыт [показать]
     
  • 4.11, Аноним, 00:29, 25/02/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    не при открытии, а при запросах на поиск да и то только когда много пользовател... весь текст скрыт [показать]
     
  • 4.13, Аноним, 00:39, 25/02/2017 [^] [ответить] [смотреть все]  
  • –5 +/
    Люди, сидящие за NAT должны страдать.
     
     
  • 5.17, Аноним, 01:25, 25/02/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    Ага, а заодно и все кто пользуется тором или не любит разрешать запуск 100500 жа... весь текст скрыт [показать]
     
     
  • 6.24, Аноним, 16:39, 25/02/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Пользователей ТОР, конечно, жаль, но в данном случае ClouFlare можно рассматрива... весь текст скрыт [показать]
     
     
  • 7.26, Аноним, 17:31, 25/02/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Для хипстоты использование Тор и попытка отказа от ЖС уже возмущение и копрофаги... весь текст скрыт [показать]
     
  • 5.36, пох, 13:33, 27/02/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    люди, сидящие за одним натом с горе-сеошниками Или с затрояненными машинами ... весь текст скрыт [показать]
     
  • 5.49, Аноним Аналитег, 00:51, 05/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Не из под NAT, ip почти статический У меня капча появляется не часто, но я заме... весь текст скрыт [показать]
     
  • 3.20, EuPhobos, 08:15, 25/02/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    А кому как ни нам тренировать нейросетку через капчи http img0 joyreactor cc ... весь текст скрыт [показать]
     
     
  • 4.32, Ненужно, 13:23, 26/02/2017 [^] [ответить] [смотреть все]  
  • +/
    проблема не в самой капче, а в необходимости включать жабаскрипт для этого
     
     
  • 5.47, Аноним, 04:00, 02/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Как ни странно, гуглокапча на CloudFlare работает без JS Но разрешать загрузку ... весь текст скрыт [показать]
     
  • 2.6, Аноним, 23:47, 24/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Было бы у них чем задумываться, не были бы они облакофилами.
     
  • 2.34, Lain_13, 06:43, 27/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    А о чём задуматься предлагаете Скорость доставки, доступ к кэшированным страниц... весь текст скрыт [показать] [показать ветку]
     
  • 2.48, Аноним, 10:48, 02/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    не задумуются, им по уй, они приняли соглашение Кому не по уй, cloudflare не юз... весь текст скрыт [показать] [показать ветку]
     
  • 1.7, Аноним, 23:50, 24/02/2017 [ответить] [смотреть все]  
  • +21 +/
    Cloudflare представила новую перспективную облачную технологию VaaS (vulnerability as a service).
     
     
  • 2.8, Буратино, 00:08, 25/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Лол
     
  • 2.12, Michael Shigorin, 00:30, 25/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В рамочку к стоп-кадру а-а-б-ла-ка-а Так вот ты какой, оптимизм ... весь текст скрыт [показать] [показать ветку]
     
  • 2.16, Comdiv, 01:22, 25/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Когда пройдёт достаточно времени с момента создания действительно хорошей альтер... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, Аноним, 08:00, 25/02/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Спроси у растоманов
     
  • 1.21, Аноним, 08:19, 25/02/2017 [ответить] [смотреть все]  
  • –3 +/
    Откуда столько негатива А, это же комментаторы опеннет Вы просто не умеете гот... весь текст скрыт [показать]
     
     
  • 2.22, Гость, 14:40, 25/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Когда помогал-то В указанные сроки, когда сливали информацию, а пользователей... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.28, Anon1, 23:13, 25/02/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    новость не читай, комментарии оставляй.
     
  • 2.23, Аноним, 16:25, 25/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    о, теперь кажись я понял зачем они капчу просят правда такая защита не намного ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.25, Аноним, 16:44, 25/02/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Классическая диллема часть чего-то или целое ничего При DDoS 100 пользователе... весь текст скрыт [показать]
     
     
  • 4.27, Аноним, 17:48, 25/02/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Классический развод недиванных аналитЕков нужностью очередной хипстер-технологии... весь текст скрыт [показать]
     
     
  • 5.30, Аноним, 23:30, 25/02/2017 [^] [ответить] [смотреть все]  
  • +/
    > хипстер-технологии
    > хипстеры

    Огласите весь список хипстер-технологий

     
  • 5.31, Аноним, 23:36, 25/02/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Хи 769 пстер, хипстеры инди-киды 8212 появившийся в США в 1940-х годах тер... весь текст скрыт [показать]
     
     
  • 6.33, Аноним, 15:10, 26/02/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    Не льсти себе, загружая твой оцифрованный винил в облака и попивая смузи, ты ник... весь текст скрыт [показать]
     
  • 5.35, тигар, 08:44, 27/02/2017 [^] [ответить] [смотреть все]  
  • +/
    угу при трафике 2Пб месяц они сильно печалиться начали, почему-то - бизнесплан... весь текст скрыт [показать]
     
     
  • 6.39, пох, 13:58, 27/02/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    охренеть - ты что там такое хостишь - cp Или если это ддос а не полезный траф... весь текст скрыт [показать]
     
     
  • 7.40, тигар, 14:01, 27/02/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    чуть-чуть десятков Тб файлов ... весь текст скрыт [показать]
     
  • 6.41, Аноним, 14:36, 27/02/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Абу, это ты, что ли?
     
     
  • 7.43, пох, 15:57, 27/02/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    > Абу, это ты, что ли?

    да не, не может у него 2P быть


     
  • 3.29, Аноним, 23:20, 25/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Капчу помнится можно и не просить настраивается В статистике видно с каких ст... весь текст скрыт [показать]
     
     
  • 4.45, Аноним, 17:27, 27/02/2017 [^] [ответить] [смотреть все]  
  • +/
    А что, имея свой сервер неважно, виртуальный или железный, на колокейшене или в... весь текст скрыт [показать]
     
     
  • 5.46, пох, 18:15, 28/02/2017 [^] [ответить] [смотреть все]  
  • +/
    > А что, имея свой сервер (неважно, виртуальный или железный, на колокейшене или в своём
    > ЦОДе) зарезать эти страны в iptables сильно сложно?

    несложно, но при входящем рейте под пол-гига/s (сла-а-а-абенький такой ddos, по нынешним меркам, и продолжать его могут вечно) ты при этом влетишь на нехилые бабки (в лучшем случае, а скорее всего - просто заблеклистят тебя без разговоров, у колло-провайдеров нет ни мощностей ни желания бороться за такого грошового клиента).
    А с cloudflare - можно уместиться в _бесплатный_ тариф (поскольку их вообще не очень парит тот траффик, который НЕ донесли до клиента - коллеге счетец-то выкатили за _реальные_ петабайты, а не мусорные)

    Еще один хороший кейс- сайт (блок, понятно, ради одной хомстранички такое не делают) на амазоне и подобных *aas. Спрятался за антиддосером - получил более-менее _предсказуемый_ (и скорее всего - небольшой) прайс в месяц.

     
  • 3.37, пох, 13:39, 27/02/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    > правда такая защита не намного лучше самого ддоса: большая часть пользователей увидев
    > капчу просто закроют вкладку с таким сайтом.

    большей части пользователей эту капчу никогда не удастся увидеть.

    гуглевую капчу пользователи, если кто не в курсе, тоже никогда не видят - потому что никогда не удаляют куки, оставленные на память гмэйловым акаунтом.

     
     
  • 4.38, Lain_13, 13:44, 27/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну на самом деле у гугла призвать капчу довольно просто и без удаления кук. Достаточно переспросить один и тот же запрос раз 10-20 и Гугл подумает, что имеет дело с ботом.
     
     
  • 5.42, пох, 15:55, 27/02/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    > Ну на самом деле у гугла призвать капчу довольно просто и без удаления кук. Достаточно

    ничего себе, "просто"...
    > переспросить один и тот же запрос раз 10-20 и Гугл подумает, что имеет дело с ботом.

    в общем-то, я тоже так подумал бы (или с альтернативно одаренным пользователем, пусть проведет свое время с пользой, тренируя нейросети, если ему десятка раз одного и того же мало)
    То есть, собственно, наши именно это и делали, но, йопаралон, не руками же! Мозоль на пальце лучше другим способом отращивать.

     
     
  • 6.44, Lain_13, 16:51, 27/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Когда занимаешься отладкой собственного скрипта/стиля, работающего на странице гугла, можно и больше раз рефреш клацнуть.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor