原标题:CloudFlare爆CloudBleed漏洞,密码、个资、讯息外露长达5个月
示意图,与新闻事件无关。
图片来源:CloudFlare
用户包括Fitbit、Uber、1Password及OkCupid的知名网页防火墙及代理伺服器业者CloudFlare上周证实网站出现记忆体洩露漏洞,用户密码及个资曝光长达5个月。安全公司呼吁用户修改所有网站密码。?
CloudFlare技术长John Graham-Cumming指出漏洞出现在CloudFlare三项「小」功能,包括电子邮件程式码混淆(obfuscation)、Server-side Excludes及Automatic HTTPS Rewrites之中读取网页的HTMLParser程式码中。Parser程式码中原本该是”==”的地方,却被打成了” =”,导致缓冲溢位(buffer overflow),使大量CloudFlare的伺服器记忆体内容外洩而可被前端HTTP呼叫。?
Google旗下的Project Zero安全研究员Tarvis Ormandy于去年9月22日揭露这项漏洞,直到2月28日CloudFlare修补,中间已经过5个月。由于其性质与2014春天爆发的OpenSSL函式库漏洞Heartbleed颇为类似,故Ormandy已CloudFleed称之。当时他发现大量知名网站用户资料外洩,受害者从约会网站、知名通讯服务、密码管理网站、成人影片网站、订房网站等,外洩内容从完整HTTPS呼叫、用户端IP位址、通讯内容、cookies、个人机密资讯、密码、API Key、加密金钥等等,只要随意上CloudFlare查询,全部都能轻易找到。?
由于CloudFlare是业界数一数二的网页防火墙及代理伺服器(reverse proxy systems)业者,因此任何该公司代理伺服器,包括HTTP及HTTPS代理伺服器服务的所有网站客户,都是此次漏洞的潜在受害者。?
CloudFlare说明,由于该公司是于隔离的NGINX环境下处理SSL连线,因此客户的SSL加密金钥并未外洩,同时也关闭了三项出问题的功能,防堵记忆体外洩情形。不过安全专家认为灾难并未结束;Github网站有用户列出可能受影响的网域高达4,287,625个。另外有统计,从2月13到18日之间,每天有20到30万张网页从CloudFlare伺服器上外洩,且有770个URL已被Google、Yahoo、Bing等搜寻引擎快取下来而可能被搜寻到。?
安全公司NowSecure则分析出,部份外洩资料Fitbit Android版、Uber及免费VoIP及传讯服务Discord,另外,使用CloudFlare的200个iOS app,像是Yelp、Dropbox、CNN等则可能有外洩风险。?
安全专家呼吁用户应关闭所有网站的主动连线(active sessions)设定,而且最好应立即修改所有网站服务密码,因为除了受影响的网站外,有些网站之中有些又可对未在外洩名单上的网站进行API呼叫,使后者遭到波及。
相关:
示意图,与新闻事件无关。 Linux核心开发人员在上周修补了一个藏匿了11年的本地端权限扩张漏洞,可能让骇客取得系统的最高权限。该漏洞是由Google的实习生Andrey Konovalov利用Google所建立的安全稽核工具syzkalle
图片来源: 甲骨文 安全研究人员发现,Java与Python的一项FTP服务漏洞,可让攻击者藉由在FTP URL注入恶意指令码,绕过防火墙对个人或企业发动攻击。安全公司BlindSpot Security研究人员Timothy Morgan发现到的攻击情境
图片来源: 甲骨文 安全研究人员发现,Java与Python的一项FTP服务漏洞,可让攻击者藉由在FTP URL注入恶意指令码,绕过防火墙对个人或企业发动攻击。安全公司BlindSpot Security研究人员Timothy Morgan发现到的攻击情境
Flash漏洞补不完,Adobe一更新,微软紧急跟进修补Windows
微软于本周二(12/21)释出MS17-005,紧急修补Windows中的Adobe Flash Player漏洞,该漏洞将允许骇客自远端执行任意程式。严格说来它是Adobe的Flash Player漏洞,而非Windows漏洞,只是因为Windows中的浏览器内建了A
图片来源: CC2.0 by Chris Shervey OpenSSL软体基金会(OpenSSL Software Foundation)上周释出了OpenSSL ?1.1.0e以修补一个允许远端骇客展开阻断服务攻击(DoS)的高严重性漏洞。根据OpenSSL的安全通报,在重新进行