免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1734 | 回复: 0

粗心程序员写错代码 CloudFlare“云出血”漏洞泄露海量用户信息 [复制链接]

论坛徽章:
146
2015年亚洲杯之日本
日期:2015-04-28 13:32:012015年亚洲杯之朝鲜
日期:2015-05-06 10:16:442015年亚洲杯之日本
日期:2015-05-06 10:21:342015年亚洲杯纪念徽章
日期:2015-05-13 17:16:442015亚冠之北京国安
日期:2015-05-13 17:18:292015亚冠之鹿岛鹿角
日期:2015-05-13 17:19:062015亚冠之德黑兰石油
日期:2015-05-27 16:47:402015亚冠之塔什干棉农
日期:2015-05-28 15:24:122015亚冠之卡尔希纳萨夫
日期:2015-06-01 13:52:392015亚冠之柏斯波利斯
日期:2015-06-04 17:37:292015亚冠之阿尔纳斯尔
日期:2015-06-16 11:31:202015亚冠之塔什干火车头
日期:2015-06-23 10:12:33
发表于 2017-02-28 10:05 |显示全部楼层
OpenSSL的“心脏出血”让人心有余悸,如今著名的网络服务商CloudFlare又曝出“云出血”漏洞,导致用户信息在互联网上泄露长达数月时间。不过幸运的是,中国用户并未受到此次事故的影响。


CloudFlare总部位于美国旧金山,是一家成长迅速的网络性能和安全公司,专门为网站提供DDoS安全防护和CDN加速、分析及应用等服务。公开资料显示,2015年每个月经过CloudFlare的网页浏览量就达到一万亿的规模。

据谷歌安全工程师Tavis Ormandy披露,他在上周做一个业余项目时无意中发现,CloudFlare把大量用户数据泄露在谷歌搜索引擎的缓存页面中,包括完整的https请求、客户端IP地址、完整的响应、cookie、密码、密钥以及各种数据。

经过分析,CloudFlare漏洞是一个HTML解析器惹的祸。由于程序员把>= 错误地写成了 ==,导致出现内存泄露的情况。就像OpenSSL心脏出血一样,CloudFlare的网站客户也大面积遭殃,包括优步(Uber)、密码管理软件1password、运动手环公司FitBit等多家企业用户隐私信息在网上泄露。

Tavis Ormandy在推特上表示,他发现了来自各大交友网站的私密信息、来自知名聊天服务网站的完整信息、在线密码管理器的数据、来自成人视频网站的帧以及酒店预订信息。为此谷歌的人在周末加班写工具来清理搜索缓存中的隐私数据。

CloudFlare“云出血”漏洞影响时间是从去年9月到今年2月18日,漏洞已经得到修复。官方还解释说,HTTPS的私钥并不会因此漏洞而泄露。

在便利化、集中化的云服务领域中,漏洞的威胁能力正逐渐显现。记者采访了去年发现各大虚拟化软件和开源项目上百个漏洞的360Gear Team。360研究人员认为,“云出血”漏洞事件给基础服务商的安全性敲响了警钟,因为一旦云端的基础组件或者服务商出现漏洞,会瞬间影响到无数网站和海量用户,云服务领域的安全除了需要有责任的厂商担当外,还需要更有力量的安全行业人员、企业协同保护。

值得一提的是,Tavis Ormandy把如此严重的漏洞报告给CloudFlare,却只得到了一件T恤奖品。基础服务商对自身业务安全性的重视程度亟待提高,否则很难激励白帽子帮助其发现漏洞,而这些漏洞可能正在被恶意的攻击者默默利用。



您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP