LINUX.ORG.RU

Cloudbleed

 , , , ,


1

5

Аноны тоже хотят обсудить www.linux.org.ru/forum/talks/13244617?lastmod=1487978830683

Проблема у cloudflare аналогичная heartbleed, когда злоумышленник мог смотреть неинициализированную память удалённого сервера, получая таким образом доступ к plain text данным: паролям, сообщениям и т.п. Однако, в heartbleed для этого требовался специальный malformed запрос. Cloudflare же выплёвывал эти данные самостоятельно так, что их (приватные сообщения на сайтах, персональные данные, пароли) проиндексировали даже поисковики.

Уязвимость обнаружил сотрудник G, который потратил десятки часов (в том числе своих выходных) на изучение проблемы. Как положено, cloudflare были проинформированы. Они взяли 90 суток на исправление. По истечение этого времени, сотруднику G дали самую большую bug bounty награду - футболку с логотипом cloudflare и опубликовали пост, где исказили суть уязвимости так, как будто это и не уязвимость вовсе.

Таким образом, cloudbleed можно смело назвать уязвимостью года.

Кто знает о существовании слова «уязвимость», не должен пользоваться сайтами за cloudflare изначально. Очевидно, что mitm-сервис это не самая доверенная местность by design.

Bfgeshka ★★★★★ ()

Аноны тоже хотят обсудить

А что тут обсуждать? Аноны как всегда соснули:

$ grep -i ^0chan sorted_unique_cf.txt
0chan.club
0chan.hk
0chan.me
0chan.ml
0chan.one
0chan.ru.net

$ grep -i ^2ch\\. sorted_unique_cf.txt
2ch.cm
2ch.hk
2ch.in.net
2ch.lt
2ch.net
2ch.party
2ch.pm
2ch.re
2ch.rip
2ch.sc
2ch.sex
2ch.tf
2ch.wf
2ch.yt

$ grep -i ^iichan sorted_unique_cf.txt
iichan.ovh

Впрочем им сосать — не привыкать.

EXL ★★★★★ ()

Объяснения в блоге клаудфлары:

https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudfla...

Каменты там отличные. Автор Ragel: «Please don't kill my reputation!»

ThrowOut

https://bugs.chromium.org/p/project-zero/issues/detail?id=1139 :

We fetched a few live samples, and we observed encryption keys, cookies, passwords, chunks of POST data and even HTTPS requests for other major cloudflare-hosted sites from other users.

[...]

This situation was unusual, PII was actively being downloaded by crawlers and users during normal usage, they just didn't understand what they were seeing.

Как так, интересно? Прямо в страницы пользователям и поисковым ботам отдавались куски памяти и никто не насторожился? Хоть какие-то активисты должны же были что-то написать администраторам сайтов (а те в клаудфлару). Пишут что уязвисмость с сентября 2016. Хм.

vmx ★★ ()

Таким образом, cloudbleed можно смело назвать уязвимостью года.

Т.е. ты гарантируешь, что за оставшиеся 10 месяцев ничего дырявей не будет?

J ★★★ ()
Ответ на: комментарий от RazrFalcon

Над веб-самодурами нужно совершать членовредительства. Эти люди ничего не понимают после того, как первым языком громирования выбрали html и по сути являются тем фактором, что сильно препятствует развитию пррогресса.

Bfgeshka ★★★★★ ()
Ответ на: комментарий от Bfgeshka

Ой, да, надеюсь у него есть ещё одна уязвимость которую он не опубликовал касаемо самого G что бы впердолить им за такую щедрость по самые гланды.

Dron ★★★★★ ()
Ответ на: комментарий от J

Сложно представить себе что-то более эпичное, чем cloudbleed, учитывая количество компаний, его использующих. Было бы интересней, конечно, если бы клиентов cloudflare сначала нагнули какиры прежде, чем уязвимость была бы исправлена. Вот тогда вообще было бы самое то. Но и так тоже ничего.

anonymous ()
Ответ на: комментарий от anonymous

Эпичнее cloudbleed, то что похоже он остался без последствий, вроде не было сообщений об использовании.

То есть, несмотря на то, что cloudflare несколько месяцев просто так открыто сыпал логинами и паролями сайтов и это даже в поисковики попало, такое впечатление, что кроме открывателя бага никто такую штуку не заметил и не использовал.

anonymous_incognito ★★★★★ ()
Ответ на: комментарий от anonymous_incognito

вроде не было сообщений об использовании.

Было сообщение:

The greatest period of impact was from February 13 and February 18 with around 1 in every 3,300,000 HTTP requests through Cloudflare potentially resulting in memory leakage (that’s about 0.00003% of requests)

https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudfla...

Да, это не прямое подтверждение, но всплеск активности утечки может говорит о намеренном использовании.

mandala ★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от ThrowOut

Можешь даже не до просветления.

http://doma.io/2017/02/24/list-of-affected-cloudbleed-domains.html

По поводу просветления и предыдущего списка:

This list contains all domains that use Cloudflare DNS, not just the Cloudflare proxy

Перевести или сам справишься?

sjinks ★★★ ()
Последнее исправление: sjinks (всего исправлений: 1)
Ответ на: комментарий от mandala

Да, это не прямое подтверждение

Эксплуатация уязвимости на самом деле нетривиальна — нужно, чтобы кривой тэг script или img попал на границу буфера nginx.

Т.е. на сайте должна быть кривая разметка и в определенном месте.

sjinks ★★★ ()