Abo
  • Services:
Anzeige
Cloudflare schaut, wie schlimm Cloudbleed war.
Cloudflare schaut, wie schlimm Cloudbleed war. (Bild: Martin Wolf/Golem.de)

Verwundbarer Parser ab Februar auf deutlich mehr Seiten

Am 13. Februar wurde der betroffene Parser dann nach Angaben von Cloudflare auf weiteren Webseiten aktiviert - von 180 auf rund 6.500. Insgesamt seien von September 2016 bis zur Entdeckung des Bugs 1.242.071 Seitenaufrufe mit dem problematischen Parser erfolgt.

Die meisten der betroffenen Webseiten waren nach Angaben von Cloudflare "kleine und wenig besuchte Webseiten". Die Auswirkungen seien dabei jeweils unterschiedlich gewesen, die herausgegebenen Inhalte "zufällig", schreibt das Unternehmen.

Anzeige

Um herauszufinden, ob die Schwachstelle ausgenutzt wurde, untersuchte Cloudflare ein anderes Sample gespeicherter Daten. Von allen Anfragen wird ein Prozent "für einen begrenzten Zeitraum" zufällig gespeichert, inklusive der Antwort der Cloudflare-Server. Cloudflare suchte eigenen Angaben zufolge nach IP-Adressen, die Seiten aus dem Sample an einem Tag mehr als 1.000-mal abgefragt und mehr Daten heruntergeladen haben, als die Seite eigentlich preisgibt.

Kein nachweisbarer Missbrauch bislang

Sieben der untersuchten Adressen sollen diesem Kriterium entsprechen, wobei keine der angefragten Adressen den verwundbaren Parser ausgeliefert haben soll und somit nicht verwundbar sei. Nach Maßgabe der Daten geht Cloudflare daher davon aus, dass zumindest im Zeitraum zwischen dem 8. Februar und dem 18. Februar 2017 (dem Datum des Patches) keine bösartigen Anfragen getätigt wurden.

Nach dem Patch waren einige der geleakten Daten nach wie vor bei Suchmaschinenanbietern verfügbar. In Zusammenarbeit mit den Betreibern Google, Bing, Yahoo, Baidu, Yandex und Duckduckgo wurden etwa 80.000 Seiten aus den entsprechenden Caches entfernt. Wer nach wie vor entsprechende Daten findet, kann diese an parserbug@cloudflare.com melden.

Pro geleaktem Datensatz erwartet Cloudflare, dass im Schnitt 67,54 interne Cloudflare-Header, 0,44 Cookies und 0,04 Tokens herausgegeben werden. Die Analyse schließt nach Angaben von Cloudflare nicht aus, dass Passwörter, Kreditkarteninformationen oder Verschlüsselungskeys herausgegeben wurden, es sei aber nicht sehr wahrscheinlich, dass das tatsächlich passiert sei.

 Geleakte Kundendaten: Cloudflare zieht Cloudbleed-Bilanz

eye home zur Startseite
smirg0l 03. Mär 2017

Akamai ist aber nur ein reines CDN, während bei CloudFlare alles über diese geroutet...

Mithrandir 03. Mär 2017

Und wie viele davon bieten eine kostenfreie Version mit API an? So, aus Interesse... Es...

hg (Golem.de) 02. Mär 2017

Im Blogpost steht dazu: "For a limited period of time we keep a debugging log of requests...



Anzeige

Stellenmarkt
  1. Debeka Kranken- und Lebensversicherungsverein a. G., Koblenz
  2. billpay GmbH, Berlin
  3. T-Systems International GmbH, Bonn, Berlin
  4. Haufe-Lexware GmbH & Co. KG, Freiburg (Home-Office)


Anzeige
Top-Angebote
  1. für 1,99€ bei Amazon Video in HD (Blu-ray-Preis 14,99€)
  2. 49,99€

Folgen Sie uns
       


  1. Internet sofort

    Das Warten auf den Festnetzanschluss kann teuer werden

  2. Ransomware

    Petya-Kampagne nutzt Lücke in Buchhaltungssoftware

  3. 10 GBit/s

    Erste 5G-Endgeräte sind noch 1 Kubikmeter groß

  4. Engine

    Unity will Kamerafahrten fast automatisch generieren

  5. Grafikkarte

    Radeon Vega FE kostet 1.000 US-Dollar

  6. Nach Gerichtsurteil

    Bundesnetzagentur setzt Vorratsdatenspeicherung aus

  7. Datenschutz

    Real will keine Gesichter mehr scannen

  8. Social Media

    Facebook feiert zwei Milliarden MAUs

  9. Online-Handel

    Websperren sollen Verbraucherschutz stärken

  10. Verbrennungsmotor

    Benzin-Drohne soll fünf Tage in der Luft bleiben



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Oneplus Five im Test: Der Oneplus-Nimbus verblasst - ein bisschen
Oneplus Five im Test
Der Oneplus-Nimbus verblasst - ein bisschen
  1. Smartphone Der Verkauf des Oneplus Five beginnt

Monster Hunter World angespielt: Dicke Dinosauriertränen in 4K
Monster Hunter World angespielt
Dicke Dinosauriertränen in 4K
  1. Shawn Layden im Interview Sony setzt auf echte PS 5 statt auf Konsolenevolution
  2. Square Enix Die stürmischen Ereignisse vor Life is Strange
  3. Spider-Man Superheld mit Alltagssorgen

Risk: Kein normaler Mensch
Risk
Kein normaler Mensch

  1. Ich dachte 24h sei angesagt

    Eierspeise | 12:24

  2. Re: Wenn es länger als 2 Wochen dauern würde

    h3nNi | 12:24

  3. Re: Power & Lautstärke auf einer Seite..

    Blarks | 12:21

  4. Re: Hat es wieder zum täglichen Anti-US Aufreger...

    Trollversteher | 12:20

  5. Re: kein Bedarf

    mcnesium | 12:20


  1. 12:03

  2. 11:59

  3. 11:45

  4. 11:35

  5. 11:18

  6. 10:34

  7. 10:13

  8. 10:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel