Проблема связана с утечкой памяти в HTML parser под названием cf-html, который был создан, чтобы заменить старый парсер на основе Ragel.
«Оказалось, что основная ошибка, которая вызвала утечку памяти присутствовал в нашем Ragel основе parser в течение многих лет, но не память просочилась из-за того, как внутренние буферы NGINX были использованы», Джон Грэм-Камминг, главный технический директор по Cloudflare сказал. «Введение cf-html тонко изменил буферизирование, которое позволило утечки, хотя не было никаких проблем в cf-html себя.»
Самая ранняя информация о дате утечки была 22 сентября 2016 года, когда были включены автоматические http Rewrites. Это был первый из трех функций, введенных, которые использовали парсер. Два других являются запутывание электронной почты и сервер стороны исключает.
Наибольший период воздействия был между 13 февраля и 17 февраля. Утечка информации оказалась на общедоступных кэшированных веб-страницах. Cloudflare работал с крупными поставщиками поисковых систем, чтобы иметь кэшированные страницы очистке, прежде чем публично объявить подробности ошибки.
«С помощью Google, Yahoo, Bing и других, мы обнаружили 770 уникальных URIs, которые были кэшированы и которые содержали утечку памяти», Грэм-Камминг сказал. «Эти 770 уникальных URIs охватывает 161 уникальных доменов. Утечка памяти была очищена с помощью поисковых систем. Мы также провели другие поисковые экспедиции в поисках потенциально просочивающейся информации на таких сайтах, как Pastebin, и ничего не нашли».
1Password не влияет
Ранее сообщалось, что 1Password был среди сайтов, пострадавших. Джеффри Голдберг (Jeffrey Goldberg), сотрудник 1Password, заверил пользователей, что утечка данных Cloudflare не влияет на 1Password.
«На данный момент, мы хотим заверить и напомнить всем, что мы разработали 1Password в надежде, что SSL / TLS может потерпеть неудачу», сказал Голдберг. «Действительно, это для инцидентов, как это, что мы намеренно сделал эту конструкцию».
«Никакие секреты не передаются между клиентами 1Password и 1Password.com при входе и использовании сервиса. Наш врез использует SRP,что означает, что сервер и клиент докажут друг другу свою личность, не передавая никаких секретов. Это означает, что пользователям 1Password не нужно менять свои мастер-пароли».
Изменение паролей
Ник Свитинг использовал ряд веб-скребков для составления списка сайтов, которые используют Cloudflare. Список доступен на GitHub и в настоящее время содержит 4,287,625 доменов, которые, возможно, пострадавших. Популярные домены в списке включают в себя:
- authy.com
- coinbase.com
- digitalocean.com
- patreon.com
- bitpay.com
- news.ycombinator.com
- producthunt.com
- medium.com
- 4chan.org
- yelp.com
- okcupid.com
Ошибка также влияет на мобильные приложения, так как данные заголовка HTTP для таких приложений, как Discord, FitBit и Uber, были обнаружены в кэшах поисковых систем. NowSecure опубликовал список, который включает в себя 200 приложений для iOS, которые используют сервисы Cloudflare.
Пользователям настоятельно рекомендуется менять свои пароли независимо от того, использует сайт Cloudflare или нет. Те, кто использует Cloudflare, должны создавать новые клавиши API и рассмотреть вопрос о принудительном изменении пароля для пользователей.
Два фактора проверки подлинности должны быть включены, где это возможно, так что пароль не является единственным учетным данным, необходимым для доступа к учетной записи. Мобильные пользователи должны выйти из мобильных приложений и войти обратно, чтобы создать новый активный маркер. Чтобы заставить всех пользователей на сайте WordPress выйти из системы и повторно войти в систему, WPStudio рекомендует изменить ключи от соли в wp-config.php.
Хотя основные поисковые системы активно очистки кэшированных страниц, утечки происходят, по крайней мере четыре месяца. Никто не знает, кто, возможно, уже Царапины этих страниц и архивные данные. Также существует вероятность того, что кто-то обнаружил уязвимость до Орманди и в течение нескольких месяцев разбирал кэшированные страницы. Вот почему важно, чтобы как минимум, вы изменили свои пароли.
Оригинал: wptavern.com
