Értesítés, hogy le ne maradj semmiről! Iratkozz fel és értesülj azonnal a legfrisebb tartalmakról! Nálunk te döntöd el, miről kérsz értesítést! Feliratkozok Többet szeretnék megtudni

Blogok

Súlyos biztonsági hibát találtak a több mint ötmillió honlap által használt Cloudflare-ban

Hírek
0 0

Még el sem kezdődött igazán az év, de már meglehet az év egyik legnagyobb sebezhetősége: A Cloudflare hibája miatt véletlenszerűen kaphatták meg egyes oldalak más oldalak tartalmait is.

Bár az internetező közönség nagy eséllyel még nem hallotta a cég nevét, de nagy eséllyel már - a tudtán kívül is - találkozott már a Cloudflare szolgáltatásaival: Ez a szolgáltatás ugyanis a weboldalak üzemeltetői számára jelentenek megoldást, mivel beállítása esetén a forgalom a Cloudflare szerverein halad át, és ezek a szerverek szolgálják ki felhő alapon az oldalhoz kapcsolódó statikus fájlokat - így a weboldal tényleges szerverére sokkal kevesebb forgalom fog érkezni. Ráadásul a Cloudflare támadások ellen is védelmet nyújt. A szoláltatás nagyságát bizonyítja, hogy olyan cégek használják, mint az Uber, a Fitbit, az 1Password, az OKCupid, a Discord, illetve több kisebb-nagyobb weboldal - köztük magyar oldalak is. 

Ezen oldalak adatai keveredhettek egy memória kezelési hiba miatt: HTTP header-ek, POST adatok darabjai (amik a felhasználó által kitöltött űrlapadatokat tartalmazhatják), JSON adatok API hívásokból, URI paraméterek, sütik és egyéb, sok esetben bizalmasnak számító adat érhetett rossz helyen (is) célba. 

A hibát a Google egyik biztonsági szakembere vette észre, és jelentette a Cloudflare számára, aki azt 24 órán belül javította. Ugyanakkor a hiba az információk szerint tavaly szeptember óta lehetett a rendszerben, bár annak kihasználásáról nincsenek információk. A hiba a hivatalos közlés szerint nem érintette az összes, a cég szolgáltatását használó weboldalt, de a nagyjából fél évig meglévő hiba következtében így is több millió felhasználó jelszava, szállodai szobafoglalások és partnerkereső oldalakon elhangzott chatbeszélgetések kerülhettek hozzáférhetővé.

A hiba ugyanakkor még mindig veszélyes lehet, ugyanis a keresőbotok - köztük a Google is - több, így kiszivárgott adatot tárolhat jelenleg még mindig a rendszerében.

vmarci21 profilképe
Veszter Márton @vmarci21 Weblap fejlesztő, az IntoMedia tagja. PHP, JavaScript és MySql témák mellett érdekli a Windows, Linux disztribúciók, Android fejlődése, az IT biztonság, és az újdonságokat felmutató IT termékek.
Hozzászólások -
Vendég profilképe Vendég
{{comment.dateWrite}} Válasz
Válasz {{answer.dateWrite}}