The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +/
Сообщение от opennews on 24-Фев-17, 22:50 
В одной из крупнейших сетей доставки контента Cloudflare выявлена (https://blog.cloudflare.com/incident-report-on-memory-leak-c.../) ошибка, которая привела к утечке неинициализированных отрывков оперативной памяти прокси-серверов, которые могли содержать конфеденциальные данные, фигурирующие при обработке запросов  других сайтов. Проблема выявлена сотрудниками Google и получила кодовое имя "cloudbleed (https://bugs.chromium.org/p/project-zero/issues/detail?id=1139)" по аналогии с уязвимостью "Heartbleed (https://www.opennet.ru/opennews/art.shtml?num=39518)".

Утечки совершались с 22 сентября 2016 года по 18 февраля 2017 года и приводили к появлению в открытом доступе такой информации, как пароли, закрытые сообщения, ключи для доступа к API и другие конфиденциальные данные. Информация утекала в составе ответов на случайные запросы, например, проведённые с 13 по 18 февраля измерения показали, что ежедневно отдавалось 100-200 тысяч страниц с частями неинициализированных блоков памяти, которые могли содержать приватные данные других сайтов.


Хуже всего, что утекающие в результате ошибки данные оседали в кэше поисковых систем и могли быть выловлены злоумышленниками через отправку типовых поисковых запросов (Google уже вычистил проблемные страницы из поискового индекса и кэша). По предварительной оценке в числе вероятных жертв проблемы насчитывается около 4.3 млн доменов, среди которых многие известные сайты (https://github.com/pirate/sites-using-cloudflare/blob/master...), в том числе отечественные, которые были клиентами Cloudflare.


Причиной утечки стала ошибка в реализации парсера разметки HTML, применяемого для разбора и замены содержимого страниц (например, замены ссылок с http:// на https://). Из-за ошибки к ответу на запрос присоединялся неинициализированный кусок памяти, который содержал данные, используемые в результате обработки других запросов на том же прокси-сервере. Например, читая news.ycombinator.com можно было получить в довесок блок с данными, который мог содержать пароль или сессионные cookie клиентов Uber или Digitalocean.

URL: https://blog.cloudflare.com/incident-report-on-memory-leak-c.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=46100

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +11 +/
Сообщение от ы on 24-Фев-17, 22:50 
Ой, как неудобно получилость!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +7 +/
Сообщение от Аноним (??) on 24-Фев-17, 23:03 
учитывая, что сейчас каждый 2ой сайт "натянут" на эту штуку.
может облакофилы и прочие любители новых "технологий" задумаются. хотя врядли.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +1 +/
Сообщение от Аноним (??) on 24-Фев-17, 23:06 
и поделом кстати! со своими капчами они реально задрали: заходишь на какой-нибудь сайт-бложик почитать доку, а оно сразу капчу разгадать требует. такого издевательства я еще нигде не видел - везде капчу требуют либо при реге, лиюо при отправке данных.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +/
Сообщение от Аноним (??) on 25-Фев-17, 00:08 
Гугл давно открывал? При каждом открытии разгадать капчу требуют.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +/
Сообщение от Аноним (??) on 25-Фев-17, 00:22 
Хз, за прошлый год раза 2-3 просил, в этом ни разу. Гуглом пользуюсь частенько.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +4 +/
Сообщение от Аноним (??) on 25-Фев-17, 00:29 
не при открытии, а при запросах на поиск. да и то только когда много пользователей за одним нат-роутером сидит. а сабж на некоторых сайтах просит ввести капчу всегда просто при заходе на страницу. хоть убейте, но я подобной хрени не понимаю.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  –5 +/
Сообщение от Аноним (??) on 25-Фев-17, 00:39 
Люди, сидящие за NAT должны страдать.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

17. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +4 +/
Сообщение от Аноним (??) on 25-Фев-17, 01:25 
> Люди, сидящие за NAT должны страдать.

Ага, а заодно и все кто пользуется тором или не любит разрешать запуск 100500 жабоскриптов, как и прочие "немолодежные зондоненавистники".

Попытался зайти на их [cloudflare] страничку - только чтобы увидеть саму капчу, требуется разрешить загрузку не только их скриптов, но и гугля. А эта гадость еще и подгружает картинки, мол "please also check the new images".
В общем, наслаждайтесь своими зондами сами, а мы обойдемся.

ЗЫ: гуглопоиск без капчи
searx.me

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

24. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +2 +/
Сообщение от Аноним (??) on 25-Фев-17, 16:39 
Пользователей ТОР, конечно, жаль, но в данном случае ClouFlare можно рассматривать как средство защиты и от них тоже. Такой же расклад с теми, кто не любит яваскрипт. Владельцы сайтов как бы говорят нам: мы вас не хотим видеть среди своих посетителей. Стоит ли дальше ходить на такие сайты и как именно каждый волен решать самостоятельно. По возмущению берусь предположить, что вы, батенька, банальный копрофаг
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

26. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +1 +/
Сообщение от Аноним (??) on 25-Фев-17, 17:31 
> По возмущению берусь предположить, что вы, батенька, банальный копрофаг

Для хипстоты использование Тор и попытка отказа от ЖС уже возмущение и копрофагия?


Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

36. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  –1 +/
Сообщение от пох on 27-Фев-17, 13:33 
> Люди, сидящие за NAT должны страдать.

люди, сидящие за одним натом с горе-сеошниками. Или с затрояненными машинами.
(сижу за натом - капчу гугля здесь ни разу не видел, ага. И cloudflare'овскую тоже. вот когда сидел рядом с людьми, целенаправленно трахающими гугль - в силу специфики конторы, так было надо - да, периодически возникали проблемы с гуглем, пришлось отсадить их в отдельный сегмент.)

с cloudflare сложно придумать, что надо делать (помимо дележа ната с троянами) чтобы эту капчу увидеть. Разьве что перестараться со всякой privacy protection (соответственно, перестать начисто быть отличимым от ддосера)

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

49. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +/
Сообщение от Аноним Аналитег on 05-Мрт-17, 00:51 
Не из под NAT, ip почти статический. У меня капча появляется не часто, но я заметил гугл начинает подозревать во мне бота когда я делаю много запросов по одному сайту сайту с небольшими изменениями в искомых словосочетаниях.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

20. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +2 +/
Сообщение от EuPhobos (ok) on 25-Фев-17, 08:15 
> со своими капчами они реально задрали

А кому как ни нам тренировать нейросетку через капчи?
http://img0.joyreactor.cc/pics/post/twitter-%D0%B8...

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

32. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +/
Сообщение от Ненужно on 26-Фев-17, 13:23 
проблема не в самой капче, а в необходимости включать жабаскрипт для этого
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

47. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +/
Сообщение от Аноним (??) on 02-Мрт-17, 04:00 
Как ни странно, гуглокапча на CloudFlare работает без JS! Но разрешать загрузку контента с google.com и gstatic.com приходится.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

6. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +1 +/
Сообщение от Аноним (??) on 24-Фев-17, 23:47 
Было бы у них чем задумываться, не были бы они облакофилами.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

34. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +1 +/
Сообщение от Lain_13 (ok) on 27-Фев-17, 06:43 
А о чём задуматься предлагаете?
Скорость доставки, доступ к кэшированным страницам в случае падения сайта, приемлемая защита от ДДоС, крайне простая масштабируемость и прочие плюшки за приемлемые деньги. А кривой код у всех рано или поздно да найдётся или HeartBleed уже забыли?
Али вы просто покудахтать на «новые» технологии?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

48. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +/
Сообщение от Аноним (??) on 02-Мрт-17, 10:48 
не задумуются, им по%уй, они приняли соглашение.
Кому не по%уй, cloudflare не юзают.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +21 +/
Сообщение от Аноним (??) on 24-Фев-17, 23:50 
Cloudflare представила новую перспективную облачную технологию VaaS (vulnerability as a service).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +/
Сообщение от Буратино on 25-Фев-17, 00:08 
Лол
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +/
Сообщение от Michael Shigorin email(ok) on 25-Фев-17, 00:30 
> Cloudflare представила новую перспективную облачную технологию VaaS

В рамочку к стоп-кадру "а-а-б-ла-ка-а..." :)

> (т.е. вместо оператора "больше или равно", использовался оператор "равно")

Так вот ты какой, оптимизм...

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

16. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  –1 +/
Сообщение от Comdiv (ok) on 25-Фев-17, 01:22 
Когда пройдёт достаточно времени с момента создания действительно хорошей альтернативы для той ниши, в которой сейчас находится C.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

18. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  –1 +/
Сообщение от Аноним (??) on 25-Фев-17, 08:00 
Спроси у растоманов
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

21. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  –3 +/
Сообщение от Аноним (??) on 25-Фев-17, 08:19 
Откуда столько негатива? А, это же комментаторы опеннет! Вы просто не умеете готовить Cloudflare. Он помогал сайтам клиента пережить DDOS на бесплатном плане.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  –2 +/
Сообщение от Гость (??) on 25-Фев-17, 14:40 
> Он помогал

Когда помогал-то? В указанные сроки, когда "сливали" информацию, а пользователей элементарно "имели"?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

28. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +1 +/
Сообщение от Anon1 on 25-Фев-17, 23:13 
новость не читай, комментарии оставляй.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

23. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +/
Сообщение от Аноним (??) on 25-Фев-17, 16:25 
о, теперь кажись я понял зачем они капчу просят.
правда такая защита не намного лучше самого ддоса: большая часть пользователей увидев капчу просто закроют вкладку с таким сайтом.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

25. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +1 +/
Сообщение от Аноним (??) on 25-Фев-17, 16:44 
> о, теперь кажись я понял зачем они капчу просят.
> правда такая защита не намного лучше самого ддоса: большая часть пользователей увидев
> капчу просто закроют вкладку с таким сайтом.

Классическая диллема: часть чего-то или целое ничего. При DDoS 100% пользователей не попадёт на сайт, при схеме с капчей — ну скажем, 30%. Выбор очевиден всякому, кро диванных аналитиков с опеннет.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +3 +/
Сообщение от Аноним (??) on 25-Фев-17, 17:48 
> Классическая диллема: часть чего-то или целое ничего. При DDoS 100% пользователей не
> попадёт на сайт, при схеме с капчей — ну скажем, 30%.
> Выбор очевиден всякому, кро диванных аналитиков с опеннет.

Классический развод недиванных аналитЕков нужностью очередной хипстер-технологии, c одновременной дойкой:
https://opennet.ru/opennews/art.shtml?num=44108
> Кластеры на базе CitusDB применяются в таких компаниях как CloudFlare (аналитика в реальном времени 100 Тб БД с данными 4 млн сайтов)
> https://opennet.ru/opennews/art.shtml?num=45996
> В итоге, на серверах обновления Firefox выявлено 4% перехваченных запросов, в интернет-магазинах - 6.2%, а в CDN-сети Cloudflare - 10.9%

А еще, хипстеры не в курсе, что при атаках чуть серьезнее однокласников запускающих словлорис,  вам эдак ненастойчиво предложат перейти на бизнес или тыропрайзплан за 200+ зелененьких в месяц или же поискать себе другой cdn.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

30. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +/
Сообщение от Аноним (??) on 25-Фев-17, 23:30 
> хипстер-технологии
> хипстеры

Огласите весь список хипстер-технологий

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

31. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  –2 +/
Сообщение от Аноним (??) on 25-Фев-17, 23:36 
Хи́пстер, хипстеры (инди-киды) — появившийся в США в 1940-х годах термин, образованный от жаргонного «to be hip», что переводится приблизительно как «быть в теме»

По такой логике все кто двигает айти - хипстеры и технологии вокруг -- хипстер-технологии

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

33. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +5 +/
Сообщение от Аноним (??) on 26-Фев-17, 15:10 
> По такой логике все кто двигает айти - хипстеры и технологии вокруг
> -- хипстер-технологии

Не льсти себе, загружая твой оцифрованный винил в облака и попивая смузи, ты никак не продвигаешь айти.


Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

35. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +/
Сообщение от тигар (ok) on 27-Фев-17, 08:44 
> А еще, хипстеры не в курсе, что при атаках чуть серьезнее однокласников
> запускающих словлорис,  вам эдак ненастойчиво предложат перейти на бизнес или
> тыропрайзплан за 200+ зелененьких в месяц или же поискать себе другой
> cdn.

угу. при трафике 2Пб/месяц они сильно печалиться начали, почему-то:-) бизнесплан за $200, по их словам в переписке, это "Typically, users of our Business Plan limit their usage to less than 10 TB per month.". за "мой" трафик они попросили всего $6k/месяц. иначе да, 'ищите другой cdn'.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

39. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +1 +/
Сообщение от пох on 27-Фев-17, 13:58 
> угу. при трафике 2Пб/месяц они сильно печалиться начали, почему-то:-) бизнесплан за $200,

охренеть - ты что там такое хостишь - cp ?

Или (если это ддос а не полезный траффик) - с кем это ты так неправильно поздоровался?

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

40. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  –1 +/
Сообщение от тигар (ok) on 27-Фев-17, 14:01 
>> угу. при трафике 2Пб/месяц они сильно печалиться начали, почему-то:-) бизнесплан за $200,
> охренеть - ты что там такое хостишь - cp ?

чуть-чуть десятков Тб файлов :)


Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

41. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +1 +/
Сообщение от Аноним (??) on 27-Фев-17, 14:36 
Абу, это ты, что ли?
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

43. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  –1 +/
Сообщение от пох on 27-Фев-17, 15:57 
> Абу, это ты, что ли?

да не, не может у него 2P быть


Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

29. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +/
Сообщение от Аноним (??) on 25-Фев-17, 23:20 
> о, теперь кажись я понял зачем они капчу просят.
> правда такая защита не намного лучше самого ддоса: большая часть пользователей увидев
> капчу просто закроют вкладку с таким сайтом.

Капчу помнится можно и не просить (настраивается). В статистике видно с каких стран прёт трафик (Мексика, Китай и т.д.), берёшь и блокируешь эти страны в настройках, всё уже легче серверу.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

45. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +/
Сообщение от Аноним (??) on 27-Фев-17, 17:27 
> блокируешь эти страны в настройках

А что, имея свой сервер (неважно, виртуальный или железный, на колокейшене или в своём ЦОДе) зарезать эти страны в iptables сильно сложно? А капчу на фронтенде тоже сложно сделать?

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

46. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +/
Сообщение от пох on 28-Фев-17, 18:15 
> А что, имея свой сервер (неважно, виртуальный или железный, на колокейшене или в своём
> ЦОДе) зарезать эти страны в iptables сильно сложно?

несложно, но при входящем рейте под пол-гига/s (сла-а-а-абенький такой ddos, по нынешним меркам, и продолжать его могут вечно) ты при этом влетишь на нехилые бабки (в лучшем случае, а скорее всего - просто заблеклистят тебя без разговоров, у колло-провайдеров нет ни мощностей ни желания бороться за такого грошового клиента).
А с cloudflare - можно уместиться в _бесплатный_ тариф (поскольку их вообще не очень парит тот траффик, который НЕ донесли до клиента - коллеге счетец-то выкатили за _реальные_ петабайты, а не мусорные)

Еще один хороший кейс- сайт (блок, понятно, ради одной хомстранички такое не делают) на амазоне и подобных *aas. Спрятался за антиддосером - получил более-менее _предсказуемый_ (и скорее всего - небольшой) прайс в месяц.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

37. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  –1 +/
Сообщение от пох on 27-Фев-17, 13:39 
> правда такая защита не намного лучше самого ддоса: большая часть пользователей увидев
> капчу просто закроют вкладку с таким сайтом.

большей части пользователей эту капчу никогда не удастся увидеть.

гуглевую капчу пользователи, если кто не в курсе, тоже никогда не видят - потому что никогда не удаляют куки, оставленные на память гмэйловым акаунтом.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

38. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +/
Сообщение от Lain_13 (ok) on 27-Фев-17, 13:44 
Ну на самом деле у гугла призвать капчу довольно просто и без удаления кук. Достаточно переспросить один и тот же запрос раз 10-20 и Гугл подумает, что имеет дело с ботом.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

42. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  –1 +/
Сообщение от пох on 27-Фев-17, 15:55 
> Ну на самом деле у гугла призвать капчу довольно просто и без удаления кук. Достаточно

ничего себе, "просто"...
> переспросить один и тот же запрос раз 10-20 и Гугл подумает, что имеет дело с ботом.

в общем-то, я тоже так подумал бы (или с альтернативно одаренным пользователем, пусть проведет свое время с пользой, тренируя нейросети, если ему десятка раз одного и того же мало)
То есть, собственно, наши именно это и делали, но, йопаралон, не руками же! Мозоль на пальце лучше другим способом отращивать.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

44. "Уязвимость в Cloudflare привела к утечке конфиденциальной ин..."  +/
Сообщение от Lain_13 (ok) on 27-Фев-17, 16:51 
Когда занимаешься отладкой собственного скрипта/стиля, работающего на странице гугла, можно и больше раз рефреш клацнуть.
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor