Ugrás a tartalomhoz

Cloudbleed

Ellenőrzött
A Wikipédiából, a szabad enciklopédiából

A Cloudbleed (más néven CloudLeak vagy CloudFlare Bug) egy biztonsági rés, amelyet 2017. február 17-én fedeztek fel és a Cloudflare fordított proxy-jait érintette. Egy programozói hiba miatt az úgynevezett edge szerverek túlléptek a puffer határain, és olyan memória blokkokkal tértek vissza, amelyek privát információkat is tartalmazhattak (pl. sütik, HTTP kérések törzse, jelszavak, és egyéb érzékeny adatok). Ezen adatok némelyikét a különböző keresőszolgáltatók – normál működésükből adódóan – gyorsítótárazták is.[1][2]

Felfedezése

[szerkesztés]

A hibát Tavis Ormandy, a Google Project Zero csapat tagja vette észre. A hibát a Google jelentette a CloudFlare-nek, magyar idő szerint 2017. február 18-án nem sokkal éjfél után. Ormandy elmondása szerint egy próbatámadás során sikerült egy CloudFlare szervert arra bírnia, hogy társkereső oldalak privát üzeneteit, chat szolgáltatások üzeneteit, online jelszó-nyilvántartó szolgáltatások adatait, valamint szobafoglalási információkat adjon vissza.[2]

Hasonlóságok a Heartbleed-del

[szerkesztés]

A Cloudbleed számos ponton hasonlóságot mutat a Heartbleed nevű, 2014-ben felfedezett biztonsági hibával, ami illetékteleneknek engedélyezett hozzáférést a webszervereken futó programok memóriaterületéhez. A probléma mérete a két biztonsági rés esetén közel azonos, hiszen olyan biztonsági és tartalom kiszolgáló szolgáltatásokat érintenek, amiket közel 2 millió weboldal használ.[3][4]

Tavis Ormandy lehetett az első, aki párhuzamot vont a két sebezhetőség között, ő jelentésében úgy fogalmazott: „Minden csepp erőmre szükségem van ahhoz, hogy ne hívjam a hibát 'Cloudbleed'-nek.”[2]

Reakciók

[szerkesztés]

CloudFlare

[szerkesztés]

2017. február 23-án a CloudFlare blogbejegyzésben tájékoztatta a nyilvánosságot a biztonsági rés komolyságáról:

„A hiba komoly, mert a kiszivárgott adatok között lehetnek privát információk, és ezt gyorsítótárazták a keresőszolgáltatások. Nem találtunk bizonyítékot a hiba rossz indulatú kihasználására, vagy egyéb jelentéseket ennek létezésére. A hiba legsúlyosabb időszaka február 13. és február 18. között volt, ekkor 3 300 000 HTTP kérésből 1 végződött potenciálisan memória szivárgással (ez körülbelül a kérések 0,00003 %-a).”[1]

Felhasználói teendők

[szerkesztés]

Számos hírügynökség azt javasolta a CloudFlare szolgáltatásait használó weboldalak felhasználóinak, hogy cseréljék le a jelszavaikat, mert megvan a kockázata, hogy azok is kiszivárogtak. A probléma kihatott a mobil alkalmazások használóinak privát adataira is, hiszen a webböngészőkkel szinte megegyező módon folytatnak adatcserét az interneten.[5][6][7]

Fordítás

[szerkesztés]
  • Ez a szócikk részben vagy egészben a Cloudbleed című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.

Jegyzetek

[szerkesztés]
  1. a b Incident report on memory leak caused by Cloudflare parser bug. Cloudflare, 2017. február 23. (Hozzáférés: 2017. február 24.)
  2. a b c Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory. google-security-research group on code.google.com, 2017. február 19. (Hozzáférés: 2017. február 24.)
  3. 01:47, 24 Feb 2017 at: Cloudbleed: Big web brands leaked crypto keys, personal secrets thanks to Cloudflare bug. (Hozzáférés: 2017. február 24.)
  4. Estes, Adam Clark. „Everything You Need to Know About Cloudbleed, the Latest Internet Security Disaster”, Gizmodo (Hozzáférés: 2017. február 24.) (amerikai angol nyelvű) 
  5. Cloudbleed: How to deal with it. Medium , 2017. február 24. (Hozzáférés: 2017. február 24.)
  6. Cloudbleed Explained: Flaw Exposes Mountains of Private Data”, Popular Mechanics , 2017. február 24. (Hozzáférés: 2017. február 24.) (angol nyelvű) 
  7. Constantin, Lucian. „Cloudflare bug exposed passwords, other sensitive data from websites”, CIO . [2017. február 25-i dátummal az eredetiből archiválva] (Hozzáférés: 2017. február 25.) (angol nyelvű)