Cloudflare 严重漏洞暴露客户机密

hyukhae079408

原文出处：solidot

帮助 550 万家网站优化安全和性能的云服务供应商 Cloudflare 曝出了严重漏洞，能暴露客户的机密信息，包括验证用户身份的密码、cookies 和令牌。漏洞已经修复，但在修复和被发现前存在了 5 个月之久，而部分泄漏高度敏感的信息可能已被 Google 和其它搜索引擎缓存。Cloudflare CTO John Graham-Cumming 在官方博客上称，搜索引擎已经清除了敏感信息，他们没有发现任何 bug 被恶意利用的证据。bug 存在于 Cloudflare 反向代理的一个 HTML 解析器链中，导致服务器对特定 HTML 响应泄漏了伪随机内存内容。受影响的重要客户包括 Uber、1Password、FitBit 和 OKCupid，其中  1Password 表示它加密了传输的数据，没有敏感数据暴露。