服务器防cc_无限防_中新金盾抗ddos-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 网站防护 > 服务器防cc_无限防_中新金盾抗ddos

服务器防cc_无限防_中新金盾抗ddos

小墨安全管家 2021-04-09 10:01 网站防护 89 ℃
DDoS防御
Cloudflare是互联网上规模较大的内容交付网络和DNS提供商之一,它的一项服务存在严峻缺陷,导致全球各地的服务器泄露和缓存敏感的客户数据,DDoS防御,如Cookie、身份验证令牌和加密密钥。该漏洞存在于Cloudflare工程师几年前编写的HTML解析器中,但最近被一具更新的解析器取代。该公司正在将各种服务从使用Ragel编写的旧解析器迁移到新的解析器中,在此过程中所做的更改导致bug激活并开始泄漏包含私有信息的内存。那个bug活跃了好几天,Cloudflare讲最关键的阶段是2月13日到2月18日。"事实证明,导致内存泄漏的底层bug在我们基于Ragel的解析器中基本存在了特别多年,然而由于内部NGINX缓冲区的使用方式,没有内存泄漏。Cloudflare的John Graham Cumming在对该漏洞的响应举行事后分析时讲,引入cf html微妙地改变了导致泄漏的缓冲区,虽然cfhtml本身没有咨询题。Cloudflare拥有庞大而多样化的客户群,包括Uber、Yelp、OkCupid、Medium和1Password等公司。有一具正在维护的所有已知客户的运行列表,其中包括一些已知未受该漏洞阻碍的客户。1Password是那些声称他们的数据不受阻碍的人之一。该漏洞对Cloudflare的客户以及公司本身都有广泛的潜在阻碍。由于公司基础设施的设置方式,对受该漏洞阻碍的一具Cloudflare站点的请求最后来大概会泄露来自另一具站点的私有信息。此外,DDoS防御,搜索引擎通常会缓存web内容以更快地提供服务,而从Cloudflare网站泄露的一些私人数据也被谷歌和其他引擎缓存。"我们采集了一些实时样本,观看到了加密密钥、cookie、密码、POST数据块。"infosec团队致力于识别搜索引擎缓存中泄漏内存的uri,并清除它们。在Google、Yahoo、Bing等公司的关心下,我们发觉了770个惟一的uri,这些uri被缓存了,其中包含了泄漏的内存。这770个独特的uri覆盖了161个独特的域。泄露的经历基本在搜索引擎的关心下被清除了。"我们还举行了其他搜索探险,在巴斯特宾等网站上寻觅大概泄露的信息,但没有找到任何东西。"该漏洞泄漏的一些敏感数据属于Cloudflare本身,而不是其客户。尽管没有客户的加密密钥被泄露,但一具用于加密自个儿机器之间连接的SSL密钥Cloudflare做到了,DDoS防御,其他一些内部身份验证机密也是这样。上周,谷歌零项目(ProjectZero)的一名研究人员在举行无关研究时发觉了内存泄漏,在确认了他的发觉后,即将联系了CloudFlare的安全团队。"看起来,假如cloudflare后面托管的html页面有一具不平衡标记的特定组合,这么代理将把未初始化内存的页面分散到输出中。我的工作原理是,这与他们的"scrapshield"功能有关,该功能能够解析和混淆html,但由于反向代理是在客户之间共享的,它会阻碍所有的Cloudflare客户,"谷歌的研究员Tavis Ormandy在他对该漏洞的初步分析中讲。"我们猎取了一些实时示例,并观看到来自其他用户的加密密钥、cookie、密码、POST数据块,DDoS高防,甚至还有其他要紧cloudflare托管站点的HTTPS请求。"Cloudflare在Ormandy最初报告的几个小时内就对内存泄漏举行了部分修复,并在本周早些时候彻底修复了它。资料图:Maarten Van Damme,执照抄送人。

服务器防cc_无限防_中新金盾抗ddos


DDoS防御

当前位置:主页 > 网站防护 > 服务器防cc_无限防_中新金盾抗ddos

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119