Abo
  • Services:

Verwundbarer Parser ab Februar auf deutlich mehr Seiten

Am 13. Februar wurde der betroffene Parser dann nach Angaben von Cloudflare auf weiteren Webseiten aktiviert - von 180 auf rund 6.500. Insgesamt seien von September 2016 bis zur Entdeckung des Bugs 1.242.071 Seitenaufrufe mit dem problematischen Parser erfolgt.

Stellenmarkt
  1. Robert Bosch GmbH, Waiblingen
  2. SSA SoftSolutions GmbH, Augsburg

Die meisten der betroffenen Webseiten waren nach Angaben von Cloudflare "kleine und wenig besuchte Webseiten". Die Auswirkungen seien dabei jeweils unterschiedlich gewesen, die herausgegebenen Inhalte "zufällig", schreibt das Unternehmen.

Um herauszufinden, ob die Schwachstelle ausgenutzt wurde, untersuchte Cloudflare ein anderes Sample gespeicherter Daten. Von allen Anfragen wird ein Prozent "für einen begrenzten Zeitraum" zufällig gespeichert, inklusive der Antwort der Cloudflare-Server. Cloudflare suchte eigenen Angaben zufolge nach IP-Adressen, die Seiten aus dem Sample an einem Tag mehr als 1.000-mal abgefragt und mehr Daten heruntergeladen haben, als die Seite eigentlich preisgibt.

Kein nachweisbarer Missbrauch bislang

Sieben der untersuchten Adressen sollen diesem Kriterium entsprechen, wobei keine der angefragten Adressen den verwundbaren Parser ausgeliefert haben soll und somit nicht verwundbar sei. Nach Maßgabe der Daten geht Cloudflare daher davon aus, dass zumindest im Zeitraum zwischen dem 8. Februar und dem 18. Februar 2017 (dem Datum des Patches) keine bösartigen Anfragen getätigt wurden.

Nach dem Patch waren einige der geleakten Daten nach wie vor bei Suchmaschinenanbietern verfügbar. In Zusammenarbeit mit den Betreibern Google, Bing, Yahoo, Baidu, Yandex und Duckduckgo wurden etwa 80.000 Seiten aus den entsprechenden Caches entfernt. Wer nach wie vor entsprechende Daten findet, kann diese an parserbug@cloudflare.com melden.

Pro geleaktem Datensatz erwartet Cloudflare, dass im Schnitt 67,54 interne Cloudflare-Header, 0,44 Cookies und 0,04 Tokens herausgegeben werden. Die Analyse schließt nach Angaben von Cloudflare nicht aus, dass Passwörter, Kreditkarteninformationen oder Verschlüsselungskeys herausgegeben wurden, es sei aber nicht sehr wahrscheinlich, dass das tatsächlich passiert sei.

 Geleakte Kundendaten: Cloudflare zieht Cloudbleed-Bilanz
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 83,90€ + Versand

smirg0l 03. Mär 2017

Akamai ist aber nur ein reines CDN, während bei CloudFlare alles über diese geroutet...

Mithrandir 03. Mär 2017

Und wie viele davon bieten eine kostenfreie Version mit API an? So, aus Interesse... Es...

hg (Golem.de) 02. Mär 2017

Im Blogpost steht dazu: "For a limited period of time we keep a debugging log of requests...


Folgen Sie uns
       


Das Abschlussgespräch zur E3 2018 (Analyse, Einordnung, Zuschauerfragen) - Live

Im Abschlussgespräch zur E3 2018 berichten die Golem.de-Redakteure Peter Steinlechner und Michael Wieczorek von ihren Eindrücken der Messe, analysieren die Auswirkungen auf die Branche und beantworten die Fragen der Zuschauer.

Das Abschlussgespräch zur E3 2018 (Analyse, Einordnung, Zuschauerfragen) - Live Video aufrufen
Always Connected PCs im Test: Das kann Windows 10 on Snapdragon
Always Connected PCs im Test
Das kann Windows 10 on Snapdragon

Noch keine Konkurrenz für x86-Notebooks: Die Convertibles mit Snapdragon-Chip und Windows 10 on ARM sind flott, haben LTE integriert und eine extrem lange Akkulaufzeit. Der App- und der Treiber-Support ist im Alltag teils ein Manko, aber nur eins der bisherigen Geräte überzeugt uns.
Ein Test von Marc Sauter und Oliver Nickel

  1. Qualcomm "Wir entwickeln dediziertes Silizium für Laptops"
  2. Windows 10 on ARM Microsoft plant 64-Bit-Support ab Mai 2018
  3. Always Connected PCs Vielversprechender Windows-RT-Nachfolger mit Fragezeichen

Smartphone von Gigaset: Made in Bocholt
Smartphone von Gigaset
Made in Bocholt

Gigaset baut sein Smartphone GS185 in Bocholt - und verpasst dem Gerät trotz kompletter Anlieferung von Teilen aus China das Label "Made in Germany". Der Fokus auf die Region ist aber vorhanden, eine erweiterte Fertigung durchaus eine Option. Wir haben uns das Werk angeschaut.
Ein Bericht von Tobias Költzsch

  1. Bocholt Gigaset baut Smartphone in Deutschland

Krankenversicherung: Der Papierkrieg geht weiter
Krankenversicherung
Der Papierkrieg geht weiter

Die Krankenversicherung der Zukunft wird digital und direkt, aber eine tiefgreifende Disruption des Gesundheitswesens à la Amazon wird in Deutschland wohl ausbleiben. Die Beharrungskräfte sind zu groß.
Eine Analyse von Daniel Fallenstein

  1. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche
  2. Medizintechnik Implantat wird per Ultraschall programmiert
  3. Telemedizin Neue Patienten für die Onlinepraxis

    •  /