Cloudflare Bug legt vertrauliche Nutzerdaten offen

Sicherheitspanne beim Anbieter Cloudflare. Ein Bug bewirkte, dass vertrauliche Nutzerdaten (Kennwörter, Authentifizierungs-Tokens) wohl über Monate öffentlich abrufbar waren.


Anzeige

Cloudflare ist mir als Anbieter bekannt, den man einsetzt, um seine Webseiten sicher und bei hoher Last auch mit vernünftigen Geschwindigkeiten auszuliefern. Cloudflare kann dazu ein Content Delivery Network (CDN) einsetzen. Bei DDoS-Angriffen auf Websites wird der Dienst gerne verwendet, um das Ganze ins Leere laufen zu lassen. Ein paar Informationen findet man zum Anbieter bei Wikipedia.

Nun musste Cloudflare CTO John Graham-Cumming bekennen, dass dem Anbieter ein Fehler unterlaufen ist. In diesem Blog-Beitrag legt er gestern Informationen über ein Memory Leak, verursacht durch einen Cloudflare Parser Bug, offen, über welches Dritte auf vertrauliche Informationen im Speicher hätten zugreifen können.


(Quelle: Google Zero)

Der Fehler wurde letzten Freitag von Tavis Ormandy vom Google Project Zero an Cloudflare gemeldet. Ihm war folgendes aufgefallen: Die von Cloudflare eingesetzten Edge-Server lieferten auf Grund des Memory Leaks plötzlich kaputte Webseiten bei bestimmten HTTP-Aufrufen, die über Cloudflare ausgeliefert wurden, zurück. Durch den Speicherüberlauf wurden Daten mit dem http-Abruf geliefert, die private Informationen wie HTTP Cookies, Authentication Token, HTTP POST-Bodies und weitere sensitive Daten enthielten. Unglücklicherweise wurden diese Aufrufe im Cache von Suchdiensten wie Google & Co. gespeichert. Tavis Ormandy hat den Sachverhalt, rund um #Cloudbood, hier offen gelegt. Die Frage im zweitletzten Post in diesem Thread habe ich hier beantwortet.

Cloudflare konnte die Ursache schnell identifizieren und beheben. Ein Team hat auch die Folgen analysiert. Mit Unterstützung von Google, Yahoo, Bing und anderen Anbietern wurden 770 eindeutige URIs in den Caches gefunden. Diese verwiesen auf 161 Domains. Die Cache-Speicher der Suchmaschinen wurden um diese Daten bereinigt. Damit sollte die Gefahr, dass jemand nachträglich an die Daten gelangt, gebannt sein. Im Anschluss hat Cloudflare die Details in diesem Blog-Beitrag offen gelegt. (via, via)

Nachtrag: Die Redaktion von WordFence hat noch einen Blog-Beitrag für Site-Betreiber erstellt, der einige Implikationen offen legt.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Internet, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.