关于CloudFlare服务器存在缓冲区溢出漏洞(Cloudbleed)的安全公告

关于CloudFlare服务器存在缓冲区溢出漏洞(Cloudbleed)的安全公告

黑客学院访客2021-10-11 20:35:0010932A+A-

近日,国家信息安全漏洞共享平台(CNVD)收录了CloudFlare服务器存在的缓冲区溢出漏洞(CNVD-2017-02009,又称Cloudbleed“云滴血”)。远程攻击者可利用漏洞获取服务器上的缓存信息(如:身份验证cookie、API密钥和登录认证等敏感信息),对在Cloudflare上运行并提供服务的大量网站构成信息泄露和运行安全风险。

一、漏洞情况分析

CloudFlare是美国一家内容分发网络(CDN)和网络安全提供商,CloudFlare充当用户和Web服务器之间的代理,通过CloudFlareedge servers解析内容以优化和安全性,从而降低对原始主机服务器的请求数量。CloudFlare服务的网站数量全球超过550万。

Cloudbleed漏洞的技术成因是CloudFlare edge servers使用“==”而非“>=”运算符检查缓冲区的末尾,并且指针能够跳过缓冲区的末尾,导致缓冲区溢出并返回包含隐私数据如 HTTP cookies、身份验证令牌、HTTP POST正文等的,这些泄露的数据被缓存在搜索引擎及其他服务器缓存中。远程攻击者可利用漏洞获取身份验证cookie和登录认证等敏感信息,并发起进一步攻击。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

Cloudbleed影响很多专业组织和企业包括 Uber,Fitbit,1Password 和OKCupid等影响无数的个人用户隐私数据的安全。通常情况下,移动应用像浏览器一样使用HTTPS (SSL/TLS)与相同的后端服务进行交互,因此Cloudbleed也会影响移动互联网应用服务供商。

Cloudflare已经修复了该漏洞,谷歌、雅虎、必应等搜索引擎厂商已经开始删除泄露数据的缓存副本,但仍有可能一些数据存储在其他网络搜索引擎(如DuckDuckGo)及其他服务器缓存中。

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 青迟绾痞2022-05-31 03:47:35
  • leed漏洞的技术成因是CloudFlare edge servers使用“==”而非“>=”运算符检查缓冲区的末尾,并且指针能够跳过缓冲区的末尾,导致缓冲区溢出并返回包含隐私数据如 HTTP cookies、身份
  • 余安袖间2022-05-31 05:49:49
  • 近日,国家信息安全漏洞共享平台(CNVD)收录了CloudFlare服务器存在的缓冲区溢出漏洞(CNVD-2017-02009,又称Cloudbleed“云滴血”)。远程攻击者可利用漏洞获取服务器上的缓存信息(如:身份验证cookie、API密钥和登录认证

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理