Abo
  • Services:

Verwundbarer Parser ab Februar auf deutlich mehr Seiten

Am 13. Februar wurde der betroffene Parser dann nach Angaben von Cloudflare auf weiteren Webseiten aktiviert - von 180 auf rund 6.500. Insgesamt seien von September 2016 bis zur Entdeckung des Bugs 1.242.071 Seitenaufrufe mit dem problematischen Parser erfolgt.

Stellenmarkt
  1. BWI GmbH, deutschlandweit
  2. Dataport, Bremen

Die meisten der betroffenen Webseiten waren nach Angaben von Cloudflare "kleine und wenig besuchte Webseiten". Die Auswirkungen seien dabei jeweils unterschiedlich gewesen, die herausgegebenen Inhalte "zufällig", schreibt das Unternehmen.

Um herauszufinden, ob die Schwachstelle ausgenutzt wurde, untersuchte Cloudflare ein anderes Sample gespeicherter Daten. Von allen Anfragen wird ein Prozent "für einen begrenzten Zeitraum" zufällig gespeichert, inklusive der Antwort der Cloudflare-Server. Cloudflare suchte eigenen Angaben zufolge nach IP-Adressen, die Seiten aus dem Sample an einem Tag mehr als 1.000-mal abgefragt und mehr Daten heruntergeladen haben, als die Seite eigentlich preisgibt.

Kein nachweisbarer Missbrauch bislang

Sieben der untersuchten Adressen sollen diesem Kriterium entsprechen, wobei keine der angefragten Adressen den verwundbaren Parser ausgeliefert haben soll und somit nicht verwundbar sei. Nach Maßgabe der Daten geht Cloudflare daher davon aus, dass zumindest im Zeitraum zwischen dem 8. Februar und dem 18. Februar 2017 (dem Datum des Patches) keine bösartigen Anfragen getätigt wurden.

Nach dem Patch waren einige der geleakten Daten nach wie vor bei Suchmaschinenanbietern verfügbar. In Zusammenarbeit mit den Betreibern Google, Bing, Yahoo, Baidu, Yandex und Duckduckgo wurden etwa 80.000 Seiten aus den entsprechenden Caches entfernt. Wer nach wie vor entsprechende Daten findet, kann diese an parserbug@cloudflare.com melden.

Pro geleaktem Datensatz erwartet Cloudflare, dass im Schnitt 67,54 interne Cloudflare-Header, 0,44 Cookies und 0,04 Tokens herausgegeben werden. Die Analyse schließt nach Angaben von Cloudflare nicht aus, dass Passwörter, Kreditkarteninformationen oder Verschlüsselungskeys herausgegeben wurden, es sei aber nicht sehr wahrscheinlich, dass das tatsächlich passiert sei.

 Geleakte Kundendaten: Cloudflare zieht Cloudbleed-Bilanz
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. ab 399€
  2. (reduzierte Überstände, Restposten & Co.)

smirg0l 03. Mär 2017

Akamai ist aber nur ein reines CDN, während bei CloudFlare alles über diese geroutet...

Mithrandir 03. Mär 2017

Und wie viele davon bieten eine kostenfreie Version mit API an? So, aus Interesse... Es...

hg (Golem.de) 02. Mär 2017

Im Blogpost steht dazu: "For a limited period of time we keep a debugging log of requests...


Folgen Sie uns
       


iOS 12 angesehen

Das neue iOS 12 bietet Nutzern die Möglichkeit, die Bildschirmzeit besser kontrollieren und einteilen zu können. Auch Siri könnte durch die Kurzbefehle interessanter als bisher werden.

iOS 12 angesehen Video aufrufen
LittleBits Hero Inventor Kit: Die Lizenz zum spaßigen Lernen
LittleBits Hero Inventor Kit
Die Lizenz zum spaßigen Lernen

LittleBits gehört mittlerweile zu den etablierten und erfolgreichen Anbietern für Elektronik-Lehrkästen. Für sein neues Set hat sich der Hersteller eine Lizenz von Marvel Comics gesichert. Versucht LittleBits mit den berühmten Superhelden von Schwächen abzulenken? Wir haben es ausprobiert.
Von Alexander Merz


    Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
    Life is Strange 2 im Test
    Interaktiver Road-Movie-Mystery-Thriller

    Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
    Von Peter Steinlechner

    1. Adventure Leisure Suit Larry landet im 21. Jahrhundert

    Lichtverschmutzung: Was Philips Hue mit der Tierwelt im Garten macht
    Lichtverschmutzung
    Was Philips Hue mit der Tierwelt im Garten macht

    LEDs für den Garten sind energiesparend und praktisch - für Menschen und manche Fledermäuse. Für viele Tiere haben sie jedoch fatale Auswirkungen. Aber mit einigen Änderungen lässt sich die Gartenbeleuchtung so gestalten, dass sich auch Tiere wohlfühlen.
    Ein Bericht von Werner Pluta

    1. Play und Signe Neue farbige Philips-Hue-Leuchten für indirektes Licht
    2. Smart Home Weitere Hue-Leuchten fürs Badezimmer vorgestellt
    3. Badezimmerspiegel Philips Hue kommt ins Bad

      •  /