前不久,著名云安全服務(wù)商Cloudflare被爆泄露用戶HTTPS網(wǎng)絡(luò)會話中的加密數(shù)據(jù)長達(dá)數(shù)月,受影響的網(wǎng)站估計(jì)最少200萬之多,其間觸及Uber、1password等多家聞名互聯(lián)網(wǎng)公司的服務(wù)。
據(jù)了解,Cloudflare為眾多互聯(lián)網(wǎng)公司供給CDN、安全等服務(wù),協(xié)助優(yōu)化頁面加載功能。然而因?yàn)橐粋(gè)編程錯(cuò)誤,導(dǎo)致在特定的情況下,Cloudflare的系統(tǒng)服務(wù)器會將服務(wù)器內(nèi)存里的部分內(nèi)容緩存到頁面中。
因而用戶在訪問由Cloudflare提供支持的服務(wù)器網(wǎng)站時(shí),通過一種特別的方法,可以隨機(jī)獲取來自其他人的會話中的靈敏信息。這就好比你在發(fā)郵件時(shí),執(zhí)行一個(gè)特定操作就能隨機(jī)取得他人的秘要郵件。雖然是隨機(jī)獲取,可一旦有心之人重復(fù)使用該方法,就能集腋成裘就能取得大量私密服務(wù)器數(shù)據(jù)。
漏洞最初是由googleProject Zero安全團(tuán)隊(duì)的漏洞獵人(國內(nèi)稱白帽子)塔維斯·奧曼迪發(fā)現(xiàn)的,當(dāng)時(shí)他在google查找的服務(wù)器緩存頁面中發(fā)現(xiàn)了大量包括加密密鑰、cookie和密碼在內(nèi)的數(shù)據(jù)。所以他很快告知Cloudflare , Cloudflare派出團(tuán)隊(duì)來處理此事,結(jié)果發(fā)現(xiàn)導(dǎo)致問題的幾個(gè)重要操作分別發(fā)生在數(shù)天和數(shù)月之前。
海騰公告海騰數(shù)據(jù)最新新聞公告
400-6717-361
Copyright© 2004-2020 河南海騰電子技術(shù)有限公司 版權(quán)所有 經(jīng)營性ICP/ISP證 備案號:B1-20180452 豫公網(wǎng)安備 41019702002018號 電子營業(yè)執(zhí)照