Abo
  • Services:
Anzeige
Cloudflare hat zwar ein Bug-Bounty-Programm, für Entdecker von Sicherheitslücken gibt's jedoch nur ein T-Shirt.
Cloudflare hat zwar ein Bug-Bounty-Programm, für Entdecker von Sicherheitslücken gibt's jedoch nur ein T-Shirt. (Bild: Cloudflare)

Speicherleck: Cloudflare verteilt private Daten übers Internet

Cloudflare hat zwar ein Bug-Bounty-Programm, für Entdecker von Sicherheitslücken gibt's jedoch nur ein T-Shirt.
Cloudflare hat zwar ein Bug-Bounty-Programm, für Entdecker von Sicherheitslücken gibt's jedoch nur ein T-Shirt. (Bild: Cloudflare)

Durch einen Bug im HTML-Parser des CDN-Anbieters Cloudflare verteilte dieser private Nachrichten von Datingbörsen, Passwörter und interne Keys über unzählige Webseiten. Vieles davon fand sich in den Caches von Suchmaschinen wieder.

Am vergangenen Freitag sendete der Google-Sicherheitsexperte Tavis Ormandy einen Tweet, in dem er dringend nach einem Security-Kontakt bei Cloudflare fragte. Der Hintergrund dieses Tweets ist dramatisch: Ein Bug bei Cloudflare führte dazu, dass sehr sensible Daten von unzähligen Nutzern im Internet verteilt wurden.

Anzeige

Cloudflare dürfte zwar nur technikaffinen Nutzern bekannt sein, das Content-Delivery-Netzwerk wird jedoch von zahlreichen Webseiten genutzt, darunter viele bekannte Dienste wie Uber, OkCupid, StackOverflow und Medium.

Cloudflare bietet verschiedene Features an, die Änderungen an den Kundenwebseiten vornehmen. Darunter beispielsweise eine Funktion, die automatisch Mailadressen via Javascript unlesbar macht, um Spammen zu erschweren, oder eine Möglichkeit, automatisch HTTP-URLs, die via HTTPS verfügbar sind, umzuschreiben. Für derartige Zwecke nutzt Cloudflare Module im Webserver Nginx, die den HTML-Code einlesen und umschreiben.

C-Parser liest über Puffer-Grenzen hinweg

Der betroffene Parser von Cloudflare war in Ragel geschrieben. Ragel wiederum erzeugt C-Code.

Der Bug selbst war ein sehr typischer C-Bug: Der Code liest in bestimmten Fällen über das Ende eines Speicherbereichs hinweg, da ein Check übersprungen werden kann. Das war der Fall, wenn ein unvollständiger HTML-Tag in einer Webseite auftauchte. Ormandy schreibt, dass er sich schwer tat, den Bug nicht Cloudbleed zu nennen - eine Anspielung auf den Heartbleed-Bug in OpenSSL, der eine sehr ähnliche Ursache hatte.

Der eingelesene Speicher, der nun alles Mögliche enthalten kann - auch Daten von anderen Webseiten - wurde mit den HTTP-Antworten des Servers verschickt. Aus dem Bericht von Tavis Ormandy geht hervor, dass darunter wohl sehr sensible Daten waren, etwa private Nachrichten von Nutzern auf Datingbörsen, Chatnachrichten und Hotelbuchungen. Cloudflare schreibt jedoch, dass HTTPS-Zertifikate nicht betroffen sind, da diese in einem anderen Speicherbereich abgelegt waren.

Der Bug befand sich laut Cloudflare schon seit vielen Jahren in dem Code, jedoch trat der Bug lange Zeit nicht auf. Der Grund dafür ist ironischerweise ein neuer Parser, der eingeführt wurde, weil Cloudflare den alten Ragel-Code eigentlich ablösen will. Der neue Parser hatte zwar keinen Bug, aber durch seine Einführung änderte sich die Art und Weise, wie Speicherbereiche an den alten Parser weitergegeben wurden. Daher tritt der Bug nur auf, wenn der alte und der neue Parser gleichzeitig genutzt werden.

Ein T-Shirt als Bug Bounty 

eye home zur Startseite
rugel 24. Feb 2017

Zwischen dDoS auf UDP / TCP Ebene mag keiner was einzuwenden haben. Was Cloudfare (und...

torrbox 24. Feb 2017

Du hast gerade die neue Abmahnfalle gefunden. ;)

Mithrandir 24. Feb 2017

Cloudflare verschick momentan Emails im Namen von Matthew Prince (mit seiner Email...

Proctrap 24. Feb 2017

siehe anderer thread, per state machine erzeugten code genommen und absichtlich geändert...



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main, München, Nürnberg
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. KUHN-Baumaschinen Deutschland GmbH, Hohenlinden bei München
  4. über Heidi Steinberger Human Resource Service, München


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. 16,99€ (ohne Prime bzw. unter 29€ Einkauf zzgl. 3€ Versand)
  3. (u. a. John Wick, Bastille Day, Sicario, Leon der Profi)

Folgen Sie uns
       


  1. Netzausrüster

    Nokia macht weiter hohen Verlust

  2. Alien Covenant In Utero

    Neomorph im VR-Brustkasten

  3. Smarter Lautsprecher

    Google Home assistiert beim Kochen

  4. id Software

    "Global Illumination ist derzeit die größte Herausforderung"

  5. Echo Look

    Amazon stellt erste Kamera mit Alexa vor

  6. e.GO Life

    Elektroauto aus Deutschland für 15.900 Euro

  7. Apple

    App schaltet Touch Bar des Macbook Pro ab

  8. Deutscher Computerspielpreis

    Portal Knights ist das "Beste Deutsche Spiel" 2017

  9. Sledgehammer Games

    Call of Duty WW2 und die Befreiung von Europa

  10. Elektroauto

    VW testet E-Trucks



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Untote Rundfahrt und mobiles Seemannsgarn
Mobile-Games-Auslese
Untote Rundfahrt und mobiles Seemannsgarn
  1. Spielebranche Beschäftigtenzahl in der deutschen Spielebranche sinkt
  2. Pay-by-Call Eltern haften nicht für unerlaubte Telefonkäufe der Kinder
  3. Spielebranche Deutscher Gamesmarkt war 2016 stabil

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto Opel Ampera-E kostet inklusive Prämie ab 34.950 Euro
  2. Elektroauto Volkswagen I.D. Crozz soll als Crossover autonom fahren
  3. Sportback Concept Audis zweiter E-tron ist ein Sportwagen

Quantencomputer: Alleskönner mit Grenzen
Quantencomputer
Alleskönner mit Grenzen

  1. Re: Wie weit soll es denn werden?

    neocron | 10:53

  2. Re: Jetzt ist es soweit

    Niaxa | 10:52

  3. Re: Nur 3x gekotzt

    M.P. | 10:52

  4. Re: Reicht eine Reichweite von 100km für die Stadt?

    bernd71 | 10:52

  5. Re: Big Brother is watching you

    Trollversteher | 10:52


  1. 11:10

  2. 10:54

  3. 09:52

  4. 09:00

  5. 08:50

  6. 07:37

  7. 07:12

  8. 23:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel