linuxsir首页 LinuxSir.Org | Linux、BSD、Solaris、Unix | 开源传万世,因有我参与欢迎您!
网站首页 | 设为首页 | 加入收藏
您所在的位置:主页 > Linux发行版Archlinux >

Cloudflare现内存数据泄露漏洞

时间:2017-03-01  来源:未知  作者:linuxsir首页

在2月17日,谷歌研究员Tavis Ormandy在对公开的网页数据进行分析时,发现其中存在机器的内存数据,其内容包括秘钥、cookie等敏感信息。经过进一步调查,发现该数据来源为Cloudflare所提供的内容分发服务。Tavis马上就将该漏洞通过twitter通知了Cloudflare,同时Cloudflare也在第一时间分析了问题并关闭了产生泄露的服务,阻止了该泄露的进一步发展。

Cloudflare是知名的国际网络安全服务提供商。它为网站提供安全管理、性能优化方面的服务。根据Cloudflare官方博客解释,此次内存数据泄露的原因是,在引入新的HTML解析器与旧解析器同时运行时,由于判断文档结束的标志位的差异,暴露了一个旧解析器的漏洞,导致内存数据的泄露。该解析器被用于Cloudflare提供的混淆页面内邮箱地址、HTTPS重写以及服务端黑名单的功能。Cloudflare在接到谷歌的通知后第一时间找出问题并停止了这三个功能,之后组建了跨国团队对漏洞进行不间断的分析及修复,并在发现漏洞的三天后恢复了这三个服务的正常使用。

Cloudflare表示此次数据泄露最早可能开始于去年的9月,那时上线了HTTPS重写功能,但是由于该功能并没有被大规模使用,没有造成很大影响。在今年的2月13日,邮箱地址混淆功能发布,从发布到该问题被谷歌发现的5天内是问题的高发期。在这段时间内大约每3,300,000个连接存在一次潜在的内存数据泄露。虽然Cloudflare已经修复了该漏洞,但是其涉及的页面已经被各搜索引擎、爬虫给抓取并缓存,导致泄露的数据可能仍然能通过这些缓存被访问到,谷歌、雅虎、必应等搜索引擎已经积极进行合作,将涉及的网页缓存进行了清除。

这次的内存数据泄露事件难免让人回想起14年OpenSSL曝出的心脏出血(Heartbleed)漏洞,但此次的漏洞涉及的范围仅限于Cloudflare客户的信息。虽然影响面不如心脏出血,但鉴于Cloudflare的客户网站有五百多万之多,其规模也不容小觑。Cloudflare已发送邮件通知各客户内存数据泄露的发生。经过分析第三方缓存,Cloudflare发现有大约150个客户站点的数据发生泄露且存在风险,他们已经在积极进行处理,希望将损失减少到最小。同时他们也建议客户修改持久化的敏感信息如长session的令牌等,但客户的SSL私钥并不会在这次的漏洞中被泄露。

此次的泄露风波再次吸引了大家对网络信息安全的关注。敏感数据通过第三方服务,在享受其提供服务的同时,势必也会导致一定的信息安全风险。在这次泄露事件中1password就表示由于其数据使用了安全远程密码(SRP)及数据加密存储,所以不会受到此次泄露的波及,该方式值得那些使用了第三方服务且对数据安全较敏感的应用借鉴。

友情链接
  • Mozilla发布Firefox 67.0.4,修复沙箱逃逸漏洞
  • 蚂蚁金服正式成为CNCF云原生计算基金会黄金会员
  • Firefox 68将采用Microsoft BITS安装更新
  • OpenSSH增加对存储在RAM中的私钥的保护
  • 谷歌想实现自己的curl,为什么?
  • Raspberry Pi 4发布:更快的CPU、更大的内存
  • Firefox的UA将移除CPU架构信息
  • Ubuntu放弃支持32位应用程序实属乌龙,Steam会否重回Ubuntu怀抱
  • Qt 5.13稳定版发布:引入glTF 2.0、改进Wayland以及支持Lottie动
  • 红帽企业Linux 7现已内置Redis 5最新版
  • Slack进入微软内部禁用服务清单,GitHub也在其列?
  • 安全的全新编程语言V发布首个可用版本
  • Windows Terminal已上架,快尝鲜
  • 阿里巴巴微服务开源生态报告No.1
  • 面世两年,Google地球将支持所有基于Chromium的浏览器
  • 推进企业容器化持续创新,Rancher ECIC千人盛典完美收官
  • CentOS 8.0最新构建状态公布,或于数周后发布
  • Debian移植RISC
  • 微软拆分操作系统的计划初现雏形
  • Oracle发布基于VS Code的开发者工具,轻松使用Oracle数据库
  • Ubuntu 19.10停止支持32位的x86架构
  • 微软为Windows Terminal推出全新logo
  • 联想ThinkPad P系列笔记本预装Ubuntu系统
  • 微软发布适用于Win7/8的Microsoft Edge预览版
  • 启智平台发布联邦学习开源数据协作项目OpenI纵横
  • 经过六个多月的延迟,微软终于推出Hyper
  • ZFS On Linux 0.8.1 发布,Python可移植性工作
  • DragonFly BSD 5.6.0 发布,HAMMER2状态良好
  • Linux Kernel 5.2
  • CentOS 8.0 看起来还需要几周的时间
  • 百度网盘Linux版正式发布
  • PCIe 6.0宣布:带宽翻倍 狂飙至256GB/s
  • PHP 7.4 Alpha 发布,FFI扩展,预加载Opcache以获得更好的性能
  • Canonical将在未来的Ubuntu版本中放弃对32位架构的支持
  • Scala 2.13 发布,改进的编译器性能
  • 微软的GitHub收购了Pull Panda,并且使所有订阅完全免费
  • Windows Subsystem for Linux 2 (WSL 2)现在适用于Windows 10用
  • Debian 10 “Buster”的RISC
  • MariaDB宣布发布MariaDB Enterprise Server 10.4
  • DXVK 1.2.2 发布,带来微小的CPU开销优化
  • DragonFlyBSD 5.6 RC1 发布,VM优化,默认为HAMMER2
  • PrimeNG 8.0.0 发布,支持Angular 8,FocusTrap等
  • GIMP 2.10.12 发布,一些有用的改进
  • 清华大学Anaconda 镜像服务即将恢复
  • Debian GNU/Linux 10 “Buster” 操作系统将于2019年7月6日发布
  • 时时彩论坛
  • 五星体育斯诺克
  • 北单比分直播
  • 河北11选5走势图
  • 福建体彩36选7开奖结果
  • 九龙图库下载