Cloudbleed

A Cloudbleed (más néven CloudLeak vagy CloudFlare Bug) egy biztonsági rés, amelyet 2017. február 17-én fedeztek fel és a Cloudflare fordított proxy-jait érintette. Egy programozói hiba miatt az úgynevezett edge szerverek túlléptek a puffer határain, és olyan memória blokkokkal tértek vissza, amelyek privát információkat is tartalmazhattak (pl. sütik, HTTP kérések törzse, jelszavak, és egyéb érzékeny adatok). Ezen adatok némelyikét a különböző keresőszolgáltatók – normál működésükből adódóan – gyorsítótárazták is.^[1]^[2]

Felfedezése szerkesztés

A hibát Tavis Ormandy, a Google Project Zero csapat tagja vette észre. A hibát a Google jelentette a CloudFlare-nek, magyar idő szerint 2017. február 18-án nem sokkal éjfél után. Ormandy elmondása szerint egy próbatámadás során sikerült egy CloudFlare szervert arra bírnia, hogy társkereső oldalak privát üzeneteit, chat szolgáltatások üzeneteit, online jelszó-nyilvántartó szolgáltatások adatait, valamint szobafoglalási információkat adjon vissza.^[2]

Hasonlóságok a Heartbleed-del szerkesztés

A Cloudbleed számos ponton hasonlóságot mutat a Heartbleed nevű, 2014-ben felfedezett biztonsági hibával, ami illetékteleneknek engedélyezett hozzáférést a webszervereken futó programok memóriaterületéhez. A probléma mérete a két biztonsági rés esetén közel azonos, hiszen olyan biztonsági és tartalom kiszolgáló szolgáltatásokat érintenek, amiket közel 2 millió weboldal használ.^[3]^[4]

Tavis Ormandy lehetett az első, aki párhuzamot vont a két sebezhetőség között, ő jelentésében úgy fogalmazott: „Minden csepp erőmre szükségem van ahhoz, hogy ne hívjam a hibát 'Cloudbleed'-nek.”^[2]

Reakciók szerkesztés

CloudFlare szerkesztés

2017. február 23-án a CloudFlare blogbejegyzésben tájékoztatta a nyilvánosságot a biztonsági rés komolyságáról:

„A hiba komoly, mert a kiszivárgott adatok között lehetnek privát információk, és ezt gyorsítótárazták a keresőszolgáltatások. Nem találtunk bizonyítékot a hiba rossz indulatú kihasználására, vagy egyéb jelentéseket ennek létezésére. A hiba legsúlyosabb időszaka február 13. és február 18. között volt, ekkor 3 300 000 HTTP kérésből 1 végződött potenciálisan memória szivárgással (ez körülbelül a kérések 0,00003 %-a).”^[1]

Ez a szakasz egyelőre üres vagy erősen hiányos. Segíts te is a kibővítésében!

Felhasználói teendők szerkesztés

Számos hírügynökség azt javasolta a CloudFlare szolgáltatásait használó weboldalak felhasználóinak, hogy cseréljék le a jelszavaikat, mert megvan a kockázata, hogy azok is kiszivárogtak. A probléma kihatott a mobil alkalmazások használóinak privát adataira is, hiszen a webböngészőkkel szinte megegyező módon folytatnak adatcserét az interneten.^[5]^[6]^[7]

Fordítás szerkesztés

Ez a szócikk részben vagy egészben a Cloudbleed című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.

Jegyzetek szerkesztés

↑ ^a ^b Incident report on memory leak caused by Cloudflare parser bug. Cloudflare, 2017. február 23. (Hozzáférés: 2017. február 24.)
↑ ^a ^b ^c Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory. google-security-research group on code.google.com, 2017. február 19. (Hozzáférés: 2017. február 24.)
↑ 01:47, 24 Feb 2017 at: Cloudbleed: Big web brands leaked crypto keys, personal secrets thanks to Cloudflare bug. (Hozzáférés: 2017. február 24.)
↑ Estes, Adam Clark. „Everything You Need to Know About Cloudbleed, the Latest Internet Security Disaster”, Gizmodo (Hozzáférés: 2017. február 24.) (amerikai angol nyelvű)
↑ Cloudbleed: How to deal with it. Medium , 2017. február 24. (Hozzáférés: 2017. február 24.)
↑ „Cloudbleed Explained: Flaw Exposes Mountains of Private Data”, Popular Mechanics , 2017. február 24. (Hozzáférés: 2017. február 24.) (angol nyelvű)
↑ Constantin, Lucian. „Cloudflare bug exposed passwords, other sensitive data from websites”, CIO . [2017. február 25-i dátummal az eredetiből archiválva] (Hozzáférés: 2017. február 25.) (angol nyelvű)

Informatikai portál • összefoglaló, színes tartalomajánló lap

[cf-blog-1] Incident report on memory leak caused by Cloudflare parser bug. Cloudflare, 2017. február 23. (Hozzáférés: 2017. február 24.)

[project-zero-2] Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory. google-security-research group on code.google.com, 2017. február 19. (Hozzáférés: 2017. február 24.)

[3] 01:47, 24 Feb 2017 at: Cloudbleed: Big web brands leaked crypto keys, personal secrets thanks to Cloudflare bug. (Hozzáférés: 2017. február 24.)

[4] Estes, Adam Clark. „Everything You Need to Know About Cloudbleed, the Latest Internet Security Disaster”, Gizmodo (Hozzáférés: 2017. február 24.) (amerikai angol nyelvű)

[5] Cloudbleed: How to deal with it. Medium , 2017. február 24. (Hozzáférés: 2017. február 24.)

[6] „Cloudbleed Explained: Flaw Exposes Mountains of Private Data”, Popular Mechanics , 2017. február 24. (Hozzáférés: 2017. február 24.) (angol nyelvű)

[7] Constantin, Lucian. „Cloudflare bug exposed passwords, other sensitive data from websites”, CIO . [2017. február 25-i dátummal az eredetiből archiválva] (Hozzáférés: 2017. február 25.) (angol nyelvű)

[1]

[2]

[3]

[4]

[5]

[6]

[7]