Zadejte hledaný výraz...

Bezpečnostní průser: Cloudflare rozesílal útržky soukromých dat webů, které jej použivají

Zázračná proxy, cache a firewall zdarma Cloudflare obsahovala chybu, která nevědomky rozesílala útržky dat - tedy cookies, formulářových dat, hesel i HTTPS požadavků - společně se servírovaným HTML. Tyto útržky nejen viděli cizí lidé a stroje, ale některé se i uložily v cachích napříč internetem. Chyby si všiml bezpečnostní pracovník Google přímo ve výsledcích vyhledávání.
Chyba rozstřikovala data v období mezi 22.9.2016 až 18.2.2017.
Původní bug
1139 - cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory…
Oznámení Cloudflare
Incident report on memory leak caused by Cloudflare parser bug
Co to znamená pro nás?
  • Změňte hesla, klíče k API a další sdílená tajemství u všech účtů na všech webech obsluhovaných pomocí Cloudflare
  • Pokud sami používáte Cloudflare na svých webech, vyresetujte všem uživatelům hesla a podívejte se do historie na podezřelou aktivitu
Velké weby za Cloudflare:
Digitalocean.com
Reddit.com
Stackoverflow.com
Namecheap.com
Patreon.com
Medium.com
4chan.org
Coinbase.com
Větší seznam zde
GitHub - pirate/sites-using-cloudflare: List of domains using Cloudflare…
Webtrh Cloudflare nepoužívá.
24. 2. 2017 08:57:42
https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji/#reply1262298
node
verified
rating uzivatele
(5 hodnocení)
24. 2. 2017 09:35:54
The greatest period of impact was from February 13 and February 18 with around 1 in every 3,300,000 HTTP requests through Cloudflare potentially resulting in memory leakage (that’s about 0.00003% of requests).
meh
24. 2. 2017 09:35:54
https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji/#reply1262297
hm
verified
rating uzivatele
(20 hodnocení)
24. 2. 2017 09:41:49
no, at to bylo jakkoliv velke, tak i tak to je docela pruser :))
24. 2. 2017 09:41:49
https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji/#reply1262296
Hehe, node, koukám, že na tebe to číslo zafungovalo přesně, jak autoři zamýšleli. "Meh"
Přečti si, co všechno lidi na Hacker News nacházejí přes Google
https://news.ycombinator.com/item?id=13718752
Interní certifikát Cloudflare, klíče k API, sdílená tajemství pro oAuth2... A to všechno přes fakt, že tým Googlu ta data už týden (od prvního nahlášení) čistí a ty výsledky maže i teď diskutujícím pod rukama (30 minut po odeslání už vrací jen 404).
Data ale zůstávají ve stovkách tisících cachí a v databázích všech ostatních crawlerů, veřejných i neveřejných. Google to z vlastní vůle maže? Nevadí. Zeptej se Bingu, Baidu, DuckDuckGo...
Pro firmy nakládající například se zdravotními daty (HIPAA) znamená použití Cloudflare konec podnikání.
Nenech se zmást zdánlivě malým procentem. Toto je jeden z největších bezpečnostních průserů v dějinách internetu.
24. 2. 2017 10:03:24
https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji/#reply1262295
TomasX
verified
rating uzivatele
(4 hodnocení)
24. 2. 2017 10:19:57
jedná se o pravděpodobně častou chybu, kdy v C alokuji nějaký blok dat, uložím do něj menší hodnotu a na výstup předám celý blok. Zabránit se tomu dá buď nulováním uvolněných hodnot nebo na výstup předávat pouze bonded string. Překvapilo mě, že tím cloudfare trpí, hodně překvapilo.
Stejné chování lze třeba nasimulovat v php, kdy si alokuji velké pole a poté si z něho vypíšu hodnoty ikdyž jsem tam žádné neuložil, výstup je na první pohled náhodný, ale prakticky obsahuje data z předchozích běhů php nebo ještě hůře z jiných aplikací (platí pro php 5.x, hlásil jsem několikrát jako bug a snad v 7 je opraveno).
Nginx či jiné proxy mají tenhle problém ošetření, u freebsd či jiných systému, které mohou na výstup předávat ukazatel na data je to velice rizikové a aplikace na to musí myslet. V případě bankovních systému, kontrola na "náhodná data na výstupu" patří mezi penetrační testy.
---------- Příspěvek doplněn 24.02.2017 v 10:21 ----------
souhlas s tím, že se jednu o obrovský průser, je otázka jak dlouho to takhle funguje, mám pocit, že vloni, když jsme předávali jeden velký projekt nad cloudfare, tahle kontrola proběhla.
24. 2. 2017 10:19:57
https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji/#reply1262294
Již párkrát jsem měl chuť, ze zvědavosti, vyzkoušet Cloudflare.
Avšak poslední dobou (až rok zpětně) nefungoval, jak měl. Občas mi házel 404, tedy web jel, ale zaseklo se to na Cloudflare, takže na stránky se nešlo dostat.
24. 2. 2017 10:32:42
https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji/#reply1262293
TomasX
verified
rating uzivatele
(4 hodnocení)
24. 2. 2017 13:35:04
ItSnowsInHellAgain: to spíše bylo způsobeno tím, že provozovatel stránek nechtěl zaplatit za vyšší kapacitu nebo mu jeho servery dobře neodpovídaly. Mysli na to, že cloudfare je brána, proxy a že aby obsloužila požadavek, musí občas kontaktovat hosting, kde daný web běží a to se může zaseknout.
Osobně s jejich službami mám dobré zkušenosti (až na tenhle průser).
24. 2. 2017 13:35:04
https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji/#reply1262292
tomve
verified
rating uzivatele
(22 hodnocení)
24. 2. 2017 14:40:12
ha, nejdřív sha-1, ted tohle
btw https://github.com/pirate/sites-using-cloudflare
24. 2. 2017 14:40:12
https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji/#reply1262291
Ten odkaz jsem už uvedl v prvním příspěvku.
24. 2. 2017 14:58:24
https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji/#reply1262290
Petr Soukup
verified
rating uzivatele
(5 hodnocení)
24. 2. 2017 18:22:10
Na druhou stranu... Cloudflare používáme (na extra doméně jen pro statický obsah) a funguje naprosto špičkově. Přešli jsme postupně mezi 6ti různými CDN včetně vlastního řešení a tohle funguje zkrátka nejlíp.
Je to mega fail, ale je to zkrátka bug, který může vzniknout (podobný byl přece v samotném openssl roky). Postavili se k tomu profesionálně a určitě se dlouho nic takového neobjeví. Je to zkrátka daň za to, jak šíleně rychlý vývoj mají - zatímco jinde teprve nasazují HTTP/2, tak Cloudflare už frčí na TLS 1.3
24. 2. 2017 18:22:10
https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji/#reply1262289
TomasX
verified
rating uzivatele
(4 hodnocení)
25. 2. 2017 14:38:28
reakce cloudfare je ukázková. Problém vyvolaly nevalidní html stránky a zapnutí jejich nového tranformačního modulu (upravují html za běhu), který již nepoužíval interní nginx buffery, ale svoje a bez ochrany k přetečení. Tuhle chybu měly zarazit jejich interní testy a měli lépe testovat svoje aplikace s fuzzy daty, slibují, že se z toho poučí.
Za mě za vše může špatný návrch aplikace, oni si v custom nginx modulech řešili naprosto vše vč. šifrovaného spojení k sobě (unikly i jejich klíče do vnitřní sítě) a stačila k tomu jedna logická chyba v aplikaci a nulová kontrola u přístupu k paměti.
Podle mě to není daň za rychlý vývoj, ale za neoddělení aplikační logiky. Jsem rád, že se rozpovídali o systémovém řešení, chtěl jsem podobně řešit také jednu aplikaci a teď vím, že prostě nginx je bezpečný jen pokud do něj necpu další svůj aplikační kód.
V cloudfare nejsou amatéři, jejich úpravy do nginx, které poslali jsou skvělé a oni stáli za poměrně rychlým nasazením http/2 do nginx, buďme za to rádi.
25. 2. 2017 14:38:28
https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji/#reply1262288
Jiří Šubr
verified
rating uzivatele
(23 hodnocení)
27. 2. 2017 09:37:22
...
27. 2. 2017 09:37:22
https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji/#reply1262287
TomasX
verified
rating uzivatele
(4 hodnocení)
27. 2. 2017 09:51:34
pokud jsi se v té době přihlašoval na některou z těch služeb, tak ano, jinak se stačí pro jistotu přihlásit/odhlásit.
Utekly data z paměti přes kterou tohle vše teklo.
27. 2. 2017 09:51:34
https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji/#reply1262286
Jiří Šubr
verified
rating uzivatele
(23 hodnocení)
27. 2. 2017 12:36:43
...
27. 2. 2017 12:36:43
https://webtrh.cz/diskuse/bezpecnostni-pruser-cloudflare-rozesilal-utrzky-soukromych-dat-webu-ktere-jej-pouzivaji/#reply1262285
Pro odpověď se přihlašte.
Přihlásit