The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в Cloudflare привела к утечке конфиденциальной информации клиентов

24.02.2017 22:35

В одной из крупнейших сетей доставки контента Cloudflare выявлена ошибка, которая привела к утечке неинициализированных отрывков оперативной памяти прокси-серверов, которые могли содержать конфиденциальные данные, фигурирующие при обработке запросов других сайтов. Проблема выявлена сотрудниками Google и получила кодовое имя "cloudbleed" по аналогии с уязвимостью "Heartbleed".

Утечки совершались с 22 сентября 2016 года по 18 февраля 2017 года и приводили к появлению в открытом доступе такой информации, как пароли, токены OAut, сессионные cookie, закрытые сообщения, ключи для доступа к API и другие конфиденциальные данные. Информация утекала в составе ответов на случайные запросы. Пик утечки пришёлся на 13-18 февраля, в эти дни ежедневно отдавалось 100-200 тысяч страниц с частями неинициализированных блоков памяти, которые могли содержать приватные данные сайтов.

Хуже всего, что утекающие в результате ошибки данные оседали в кэше поисковых систем и могли быть выловлены злоумышленниками через отправку типовых поисковых запросов. Представители Cloudflare выявили в кэше Google, Bing и Yahoo 770 уникальных ссылок, содержащих утечки блоков памяти (Google вычистил проблемные страницы из поискового индекса и кэша, но в Bing и Yahoo такие страницы до сих пор сохранены). По предварительной оценке в числе вероятных жертв проблемы насчитывается около 4.3 млн доменов, среди которых многие известные сайты, в том числе отечественные, которые были клиентами Cloudflare.

Причиной утечки стала ошибка в реализации парсера разметки HTML, применяемого для разбора и замены содержимого страниц (например, замены ссылок с http:// на https://, скрытия email-адресов и защиты частей страницы от вредоносных ботов). Парсер был написан с использованием компилятора Ragel и содержал ошибку в условии проверки конца буфера. В частности, указатель проверялся на то, равен ли он концу буфера, но не учитывалась ситуация, когда указатель мог указывать за пределы конца буфера (т.е. вместо оператора "больше или равно", использовался оператор "равно").

Проблема проявлялась при наличии в обрабатываемой странице определённой комбинации несбалансированных HTML-тегов, например, когда в конце страницы находится незакрытый тег "‹script type=". Из-за ошибки к ответу на запрос присоединялся неинициализированный кусок памяти, следующий за концом рабочего буфера, который содержал данные, используемые в результате обработки других запросов на том же прокси-сервере. Например, читая какой-то сайт можно было получить в довесок блок с данными, который мог содержать пароль или сессионные cookie клиентов Uber, 1Password, FitBit, OKCupid или Digitalocean. При особой удаче можно было получить приватный ключ, используемый для организации соединения между серверами Cloudflare.



  1. Главная ссылка к новости (https://blog.cloudflare.com/in...)
  2. OpenNews: Капча CloudFlare может применяться для деанонимизации пользователей Tor
  3. OpenNews: CloudFlare применил NetMap для повышения скорости обработки пакетов в Linux
  4. OpenNews: Сеть доставки контента CloudFlare представила Universal SSL
  5. OpenNews: В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей
  6. OpenNews: Heartbleed-уязвимость в OpenSSL могла эксплуатироваться с ноября прошлого года
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: cloudflare
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (40) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, ы (?), 22:50, 24/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Ой, как неудобно получилость!
     
  • 1.3, Аноним (-), 23:03, 24/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    учитывая, что сейчас каждый 2ой сайт "натянут" на эту штуку.
    может облакофилы и прочие любители новых "технологий" задумаются. хотя врядли.
     
     
  • 2.4, Аноним (-), 23:06, 24/02/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    и поделом кстати! со своими капчами они реально задрали: заходишь на какой-нибудь сайт-бложик почитать доку, а оно сразу капчу разгадать требует. такого издевательства я еще нигде не видел - везде капчу требуют либо при реге, лиюо при отправке данных.
     
     
  • 3.9, Аноним (-), 00:08, 25/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Гугл давно открывал? При каждом открытии разгадать капчу требуют.
     
     
  • 4.10, Аноним (-), 00:22, 25/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Хз, за прошлый год раза 2-3 просил, в этом ни разу. Гуглом пользуюсь частенько.
     
  • 4.11, Аноним (-), 00:29, 25/02/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    не при открытии, а при запросах на поиск. да и то только когда много пользователей за одним нат-роутером сидит. а сабж на некоторых сайтах просит ввести капчу всегда просто при заходе на страницу. хоть убейте, но я подобной хрени не понимаю.
     
  • 4.13, Аноним (-), 00:39, 25/02/2017 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Люди, сидящие за NAT должны страдать.
     
     
  • 5.17, Аноним (-), 01:25, 25/02/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Люди, сидящие за NAT должны страдать.

    Ага, а заодно и все кто пользуется тором или не любит разрешать запуск 100500 жабоскриптов, как и прочие "немолодежные зондоненавистники".

    Попытался зайти на их [cloudflare] страничку - только чтобы увидеть саму капчу, требуется разрешить загрузку не только их скриптов, но и гугля. А эта гадость еще и подгружает картинки, мол "please also check the new images".
    В общем, наслаждайтесь своими зондами сами, а мы обойдемся.

    ЗЫ: гуглопоиск без капчи
    searx.me

     
     
  • 6.24, Аноним (-), 16:39, 25/02/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Пользователей ТОР, конечно, жаль, но в данном случае ClouFlare можно рассматривать как средство защиты и от них тоже. Такой же расклад с теми, кто не любит яваскрипт. Владельцы сайтов как бы говорят нам: мы вас не хотим видеть среди своих посетителей. Стоит ли дальше ходить на такие сайты и как именно каждый волен решать самостоятельно. По возмущению берусь предположить, что вы, батенька, банальный копрофаг
     
     
  • 7.26, Аноним (-), 17:31, 25/02/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > По возмущению берусь предположить, что вы, батенька, банальный копрофаг

    Для хипстоты использование Тор и попытка отказа от ЖС уже возмущение и копрофагия?


     
  • 5.36, пох (?), 13:33, 27/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Люди, сидящие за NAT должны страдать.

    люди, сидящие за одним натом с горе-сеошниками. Или с затрояненными машинами.
    (сижу за натом - капчу гугля здесь ни разу не видел, ага. И cloudflare'овскую тоже. вот когда сидел рядом с людьми, целенаправленно трахающими гугль - в силу специфики конторы, так было надо - да, периодически возникали проблемы с гуглем, пришлось отсадить их в отдельный сегмент.)

    с cloudflare сложно придумать, что надо делать (помимо дележа ната с троянами) чтобы эту капчу увидеть. Разьве что перестараться со всякой privacy protection (соответственно, перестать начисто быть отличимым от ддосера)

     
  • 5.49, Аноним Аналитег (?), 00:51, 05/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Не из под NAT, ip почти статический. У меня капча появляется не часто, но я заметил гугл начинает подозревать во мне бота когда я делаю много запросов по одному сайту сайту с небольшими изменениями в искомых словосочетаниях.
     
  • 3.20, EuPhobos (ok), 08:15, 25/02/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > со своими капчами они реально задрали

    А кому как ни нам тренировать нейросетку через капчи?
    http://img0.joyreactor.cc/pics/post/twitter-%D0%B8%D0%BD&

     
     
  • 4.32, Ненужно (?), 13:23, 26/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    проблема не в самой капче, а в необходимости включать жабаскрипт для этого
     
     
  • 5.47, Аноним (-), 04:00, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Как ни странно, гуглокапча на CloudFlare работает без JS! Но разрешать загрузку контента с google.com и gstatic.com приходится.
     
  • 2.6, Аноним (-), 23:47, 24/02/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Было бы у них чем задумываться, не были бы они облакофилами.
     
  • 2.34, Lain_13 (ok), 06:43, 27/02/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А о чём задуматься предлагаете?
    Скорость доставки, доступ к кэшированным страницам в случае падения сайта, приемлемая защита от ДДоС, крайне простая масштабируемость и прочие плюшки за приемлемые деньги. А кривой код у всех рано или поздно да найдётся или HeartBleed уже забыли?
    Али вы просто покудахтать на «новые» технологии?
     
  • 2.48, Аноним (-), 10:48, 02/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    не задумуются, им по%уй, они приняли соглашение.
    Кому не по%уй, cloudflare не юзают.
     

  • 1.7, Аноним (-), 23:50, 24/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +21 +/
    Cloudflare представила новую перспективную облачную технологию VaaS (vulnerability as a service).
     
     
  • 2.8, Буратино (?), 00:08, 25/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Лол
     
  • 2.12, Michael Shigorin (ok), 00:30, 25/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Cloudflare представила новую перспективную облачную технологию VaaS

    В рамочку к стоп-кадру "а-а-б-ла-ка-а..." :)

    > (т.е. вместо оператора "больше или равно", использовался оператор "равно")

    Так вот ты какой, оптимизм...

     
  • 2.16, Comdiv (ok), 01:22, 25/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Когда пройдёт достаточно времени с момента создания действительно хорошей альтернативы для той ниши, в которой сейчас находится C.
     
     
  • 3.18, Аноним (-), 08:00, 25/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Спроси у растоманов
     

  • 1.21, Аноним (-), 08:19, 25/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Откуда столько негатива? А, это же комментаторы опеннет! Вы просто не умеете готовить Cloudflare. Он помогал сайтам клиента пережить DDOS на бесплатном плане.
     
     
  • 2.22, Гость (??), 14:40, 25/02/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Он помогал

    Когда помогал-то? В указанные сроки, когда "сливали" информацию, а пользователей элементарно "имели"?

     
     
  • 3.28, Anon1 (?), 23:13, 25/02/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    новость не читай, комментарии оставляй.
     
  • 2.23, Аноним (-), 16:25, 25/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    о, теперь кажись я понял зачем они капчу просят.
    правда такая защита не намного лучше самого ддоса: большая часть пользователей увидев капчу просто закроют вкладку с таким сайтом.
     
     
  • 3.25, Аноним (-), 16:44, 25/02/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > о, теперь кажись я понял зачем они капчу просят.
    > правда такая защита не намного лучше самого ддоса: большая часть пользователей увидев
    > капчу просто закроют вкладку с таким сайтом.

    Классическая диллема: часть чего-то или целое ничего. При DDoS 100% пользователей не попадёт на сайт, при схеме с капчей — ну скажем, 30%. Выбор очевиден всякому, кро диванных аналитиков с опеннет.

     
     
  • 4.27, Аноним (-), 17:48, 25/02/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Классическая диллема: часть чего-то или целое ничего. При DDoS 100% пользователей не
    > попадёт на сайт, при схеме с капчей — ну скажем, 30%.
    > Выбор очевиден всякому, кро диванных аналитиков с опеннет.

    Классический развод недиванных аналитЕков нужностью очередной хипстер-технологии, c одновременной дойкой:
    https://opennet.ru/opennews/art.shtml?num=44108
    > Кластеры на базе CitusDB применяются в таких компаниях как CloudFlare (аналитика в реальном времени 100 Тб БД с данными 4 млн сайтов)
    > https://opennet.ru/opennews/art.shtml?num=45996
    > В итоге, на серверах обновления Firefox выявлено 4% перехваченных запросов, в интернет-магазинах - 6.2%, а в CDN-сети Cloudflare - 10.9%

    А еще, хипстеры не в курсе, что при атаках чуть серьезнее однокласников запускающих словлорис,  вам эдак ненастойчиво предложат перейти на бизнес или тыропрайзплан за 200+ зелененьких в месяц или же поискать себе другой cdn.

     
     
  • 5.30, Аноним (-), 23:30, 25/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > хипстер-технологии
    > хипстеры

    Огласите весь список хипстер-технологий

     
  • 5.31, Аноним (-), 23:36, 25/02/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Хи́пстер, хипстеры (инди-киды) — появившийся в США в 1940-х годах термин, образованный от жаргонного «to be hip», что переводится приблизительно как «быть в теме»

    По такой логике все кто двигает айти - хипстеры и технологии вокруг -- хипстер-технологии

     
     
  • 6.33, Аноним (-), 15:10, 26/02/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > По такой логике все кто двигает айти - хипстеры и технологии вокруг
    > -- хипстер-технологии

    Не льсти себе, загружая твой оцифрованный винил в облака и попивая смузи, ты никак не продвигаешь айти.


     
  • 5.35, тигар (ok), 08:44, 27/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А еще, хипстеры не в курсе, что при атаках чуть серьезнее однокласников
    > запускающих словлорис,  вам эдак ненастойчиво предложат перейти на бизнес или
    > тыропрайзплан за 200+ зелененьких в месяц или же поискать себе другой
    > cdn.

    угу. при трафике 2Пб/месяц они сильно печалиться начали, почему-то:-) бизнесплан за $200, по их словам в переписке, это "Typically, users of our Business Plan limit their usage to less than 10 TB per month.". за "мой" трафик они попросили всего $6k/месяц. иначе да, 'ищите другой cdn'.

     
     
  • 6.39, пох (?), 13:58, 27/02/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > угу. при трафике 2Пб/месяц они сильно печалиться начали, почему-то:-) бизнесплан за $200,

    охренеть - ты что там такое хостишь - cp ?

    Или (если это ддос а не полезный траффик) - с кем это ты так неправильно поздоровался?

     
     
  • 7.40, тигар (ok), 14:01, 27/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> угу. при трафике 2Пб/месяц они сильно печалиться начали, почему-то:-) бизнесплан за $200,
    > охренеть - ты что там такое хостишь - cp ?

    чуть-чуть десятков Тб файлов :)


     
  • 6.41, Аноним (-), 14:36, 27/02/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Абу, это ты, что ли?
     
     
  • 7.43, пох (?), 15:57, 27/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Абу, это ты, что ли?

    да не, не может у него 2P быть


     
  • 3.29, Аноним (-), 23:20, 25/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > о, теперь кажись я понял зачем они капчу просят.
    > правда такая защита не намного лучше самого ддоса: большая часть пользователей увидев
    > капчу просто закроют вкладку с таким сайтом.

    Капчу помнится можно и не просить (настраивается). В статистике видно с каких стран прёт трафик (Мексика, Китай и т.д.), берёшь и блокируешь эти страны в настройках, всё уже легче серверу.

     
     
  • 4.45, Аноним (-), 17:27, 27/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > блокируешь эти страны в настройках

    А что, имея свой сервер (неважно, виртуальный или железный, на колокейшене или в своём ЦОДе) зарезать эти страны в iptables сильно сложно? А капчу на фронтенде тоже сложно сделать?

     
     
  • 5.46, пох (?), 18:15, 28/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А что, имея свой сервер (неважно, виртуальный или железный, на колокейшене или в своём
    > ЦОДе) зарезать эти страны в iptables сильно сложно?

    несложно, но при входящем рейте под пол-гига/s (сла-а-а-абенький такой ddos, по нынешним меркам, и продолжать его могут вечно) ты при этом влетишь на нехилые бабки (в лучшем случае, а скорее всего - просто заблеклистят тебя без разговоров, у колло-провайдеров нет ни мощностей ни желания бороться за такого грошового клиента).
    А с cloudflare - можно уместиться в _бесплатный_ тариф (поскольку их вообще не очень парит тот траффик, который НЕ донесли до клиента - коллеге счетец-то выкатили за _реальные_ петабайты, а не мусорные)

    Еще один хороший кейс- сайт (блок, понятно, ради одной хомстранички такое не делают) на амазоне и подобных *aas. Спрятался за антиддосером - получил более-менее _предсказуемый_ (и скорее всего - небольшой) прайс в месяц.

     
  • 3.37, пох (?), 13:39, 27/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > правда такая защита не намного лучше самого ддоса: большая часть пользователей увидев
    > капчу просто закроют вкладку с таким сайтом.

    большей части пользователей эту капчу никогда не удастся увидеть.

    гуглевую капчу пользователи, если кто не в курсе, тоже никогда не видят - потому что никогда не удаляют куки, оставленные на память гмэйловым акаунтом.

     
     
  • 4.38, Lain_13 (ok), 13:44, 27/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну на самом деле у гугла призвать капчу довольно просто и без удаления кук. Достаточно переспросить один и тот же запрос раз 10-20 и Гугл подумает, что имеет дело с ботом.
     
     
  • 5.42, пох (?), 15:55, 27/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну на самом деле у гугла призвать капчу довольно просто и без удаления кук. Достаточно

    ничего себе, "просто"...
    > переспросить один и тот же запрос раз 10-20 и Гугл подумает, что имеет дело с ботом.

    в общем-то, я тоже так подумал бы (или с альтернативно одаренным пользователем, пусть проведет свое время с пользой, тренируя нейросети, если ему десятка раз одного и того же мало)
    То есть, собственно, наши именно это и делали, но, йопаралон, не руками же! Мозоль на пальце лучше другим способом отращивать.

     
     
  • 6.44, Lain_13 (ok), 16:51, 27/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Когда занимаешься отладкой собственного скрипта/стиля, работающего на странице гугла, можно и больше раз рефреш клацнуть.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру