Cloudflare bug'Cloudbleed'在线泄露私人数据

2019
05/22
10:17

金沙城娱乐网站/ 科技/ Cloudflare bug'Cloudbleed'在线泄露私人数据

发布时间:2017年2月27日凌晨2点37分
2017年2月27日下午3:51更新

美国旧金山 - 周末互联网用户被要求更改所有密码,因为Cloudflare漏洞可能泄露了网站访问时的密码,消息等。

2月24日星期五(马尼拉时间2月25日),数百万个网站用来增强安全性和性能的Cloudflare服务在一周前被谷歌研究员塔维斯·奥曼迪(Tavis Ormandy)收到警报后迅速修复了这个漏洞。

“事实证明,在一些不寻常的情况下,我们的边缘服务器运行超过缓冲区的末尾并返回包含私有信息的内存,例如HTTP cookie,身份验证令牌,HTTP POST主体和其他敏感数据,”Cloudflare首席技术官John Graham-Cumming在 。

“其中一些数据已被搜索引擎缓存。”

本质上,根据对bug的描述,旨在临时存储的敏感数据溢出“缓冲”存储空间,然后隐藏在更多暴露的位置,例如网页,然后可以被在线搜索引擎捕获。

“我们提取了一些实时样本,我们观察到加密密钥,cookie,密码,POST数据块甚至是其他用户对其他主要Cloudflare托管网站的HTTPS请求,”Ormandy在一篇关于该漏洞的在线帖子中说。

“这种情况很不寻常,(个人身份信息)在正常使用过程中被爬虫和用户主动下载,他们只是不明白他们看到了什么。”

Ormandy在@taviso发布的Twitter消息中表示,Cloudflare已经泄漏了数月的信息,危及包括Uber,OKCupid,Fitbit和1Password在内的主要网站的所谓安全数据。

由于在Twitter上嗡嗡作响的漏洞,人们不得不改变所有在线密码,其中“#CloudBleed”主题标签是一个热门话题。 - Rappler.com

免责声明:本文来自金沙城娱乐网站新闻客户端自媒体,不代表金沙城娱乐网站的观点和立场。