 fox
II/IDEC networks :: habra.16 :: / CDN-провайдер Cloudflare внедрял содержимое памяти своего сервера в код произвольных веб-страниц
|
Login |
[#]
CDN-провайдер Cloudflare внедрял содержимое памяти своего сервера в код произвольных веб-страниц
habrabot(difrex,1) — All
2017-02-24 14:30:04
![][1]Специалисты по безопасности из Google обнаружили [неприятный баг][2], чем-то похожий на приснопамятную уязвимость [Heartbleed][3] в OpenSSL. Она тоже выдаёт любому желающему криптографические ключи пользователей, а также куки, пароли, содержимое POST-запросов с личными данными, кредитные карты, ключи API и другое содержимое чужих сессий.
Здесь уязвимость ограничена всего одним сервис-провайдером, пусть и таким крупным как Cloudflare. Но в определённом смысле этот баг Cloudbleed хуже, чем Heartbleed, потому что утечка данных происходит спонтанно. Эти страницы рутинно скачиваются краулерами, индексируются поисковыми системами, до сих пор хранятся в архивах веб-страниц и в кэше Google.
Cloudflare является посредником между хостером сайта и посетителями сайта, выполняя роль [обратного прокси][4] для веб-сайтов. Из-за ошибки программиста **системы Cloudflare на Nginx с сентября 2016 года внедряли случайные фрагменты оперативной памяти своего сервера в содержимое веб-страниц, которое выдавалось всем пользователям**.
[Читать дальше →][5]
[1]: https://habrastorage.org/files/87d/5e0/944/87d5e09446ce4aefb0d171cc70064b0f.png
[2]: https://bugs.chromium.org/p/project-zero/issues/detail?id=1139
[3]: https://habrahabr.ru/post/219151/
[4]: https://ru.wikipedia.org/wiki/Обратный_прокси
[5]: https://habrahabr.ru/post/322500/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut
habrabot(difrex,1) — All
2017-02-24 14:30:04
![][1]Специалисты по безопасности из Google обнаружили [неприятный баг][2], чем-то похожий на приснопамятную уязвимость [Heartbleed][3] в OpenSSL. Она тоже выдаёт любому желающему криптографические ключи пользователей, а также куки, пароли, содержимое POST-запросов с личными данными, кредитные карты, ключи API и другое содержимое чужих сессий.
Здесь уязвимость ограничена всего одним сервис-провайдером, пусть и таким крупным как Cloudflare. Но в определённом смысле этот баг Cloudbleed хуже, чем Heartbleed, потому что утечка данных происходит спонтанно. Эти страницы рутинно скачиваются краулерами, индексируются поисковыми системами, до сих пор хранятся в архивах веб-страниц и в кэше Google.
Cloudflare является посредником между хостером сайта и посетителями сайта, выполняя роль [обратного прокси][4] для веб-сайтов. Из-за ошибки программиста **системы Cloudflare на Nginx с сентября 2016 года внедряли случайные фрагменты оперативной памяти своего сервера в содержимое веб-страниц, которое выдавалось всем пользователям**.
[Читать дальше →][5]
[1]: https://habrastorage.org/files/87d/5e0/944/87d5e09446ce4aefb0d171cc70064b0f.png
[2]: https://bugs.chromium.org/p/project-zero/issues/detail?id=1139
[3]: https://habrahabr.ru/post/219151/
[4]: https://ru.wikipedia.org/wiki/Обратный_прокси
[5]: https://habrahabr.ru/post/322500/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut