Abo
  • Services:

Speicherleck: Cloudflare verteilt private Daten übers Internet

Durch einen Bug im HTML-Parser des CDN-Anbieters Cloudflare verteilte dieser private Nachrichten von Datingbörsen, Passwörter und interne Keys über unzählige Webseiten. Vieles davon fand sich in den Caches von Suchmaschinen wieder.

Artikel veröffentlicht am , Hanno Böck
Cloudflare hat zwar ein Bug-Bounty-Programm, für Entdecker von Sicherheitslücken gibt's jedoch nur ein T-Shirt.
Cloudflare hat zwar ein Bug-Bounty-Programm, für Entdecker von Sicherheitslücken gibt's jedoch nur ein T-Shirt. (Bild: Cloudflare)

Am vergangenen Freitag sendete der Google-Sicherheitsexperte Tavis Ormandy einen Tweet, in dem er dringend nach einem Security-Kontakt bei Cloudflare fragte. Der Hintergrund dieses Tweets ist dramatisch: Ein Bug bei Cloudflare führte dazu, dass sehr sensible Daten von unzähligen Nutzern im Internet verteilt wurden.

Inhalt:
  1. Speicherleck: Cloudflare verteilt private Daten übers Internet
  2. Ein T-Shirt als Bug Bounty

Cloudflare dürfte zwar nur technikaffinen Nutzern bekannt sein, das Content-Delivery-Netzwerk wird jedoch von zahlreichen Webseiten genutzt, darunter viele bekannte Dienste wie Uber, OkCupid, StackOverflow und Medium.

Cloudflare bietet verschiedene Features an, die Änderungen an den Kundenwebseiten vornehmen. Darunter beispielsweise eine Funktion, die automatisch Mailadressen via Javascript unlesbar macht, um Spammen zu erschweren, oder eine Möglichkeit, automatisch HTTP-URLs, die via HTTPS verfügbar sind, umzuschreiben. Für derartige Zwecke nutzt Cloudflare Module im Webserver Nginx, die den HTML-Code einlesen und umschreiben.

C-Parser liest über Puffer-Grenzen hinweg

Der betroffene Parser von Cloudflare war in Ragel geschrieben. Ragel wiederum erzeugt C-Code.

Stellenmarkt
  1. Flughafen Berlin Brandenburg GmbH, Schönefeld
  2. zeb/rolfes.schierenbeck.associates gmbh, Münster

Der Bug selbst war ein sehr typischer C-Bug: Der Code liest in bestimmten Fällen über das Ende eines Speicherbereichs hinweg, da ein Check übersprungen werden kann. Das war der Fall, wenn ein unvollständiger HTML-Tag in einer Webseite auftauchte. Ormandy schreibt, dass er sich schwer tat, den Bug nicht Cloudbleed zu nennen - eine Anspielung auf den Heartbleed-Bug in OpenSSL, der eine sehr ähnliche Ursache hatte.

Der eingelesene Speicher, der nun alles Mögliche enthalten kann - auch Daten von anderen Webseiten - wurde mit den HTTP-Antworten des Servers verschickt. Aus dem Bericht von Tavis Ormandy geht hervor, dass darunter wohl sehr sensible Daten waren, etwa private Nachrichten von Nutzern auf Datingbörsen, Chatnachrichten und Hotelbuchungen. Cloudflare schreibt jedoch, dass HTTPS-Zertifikate nicht betroffen sind, da diese in einem anderen Speicherbereich abgelegt waren.

Der Bug befand sich laut Cloudflare schon seit vielen Jahren in dem Code, jedoch trat der Bug lange Zeit nicht auf. Der Grund dafür ist ironischerweise ein neuer Parser, der eingeführt wurde, weil Cloudflare den alten Ragel-Code eigentlich ablösen will. Der neue Parser hatte zwar keinen Bug, aber durch seine Einführung änderte sich die Art und Weise, wie Speicherbereiche an den alten Parser weitergegeben wurden. Daher tritt der Bug nur auf, wenn der alte und der neue Parser gleichzeitig genutzt werden.

Ein T-Shirt als Bug Bounty 
  1. 1
  2. 2
  3.  


Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

die Schwarte Katze 25. Okt 2017

ich wollte eigentlich den antworten: https://forum.golem.de/kommentare/security...

die Schwarte Katze 25. Okt 2017

Hi ich finde das interessant da ich bei allen cloudflare Seiten das Bekomme: https://www...

torrbox 24. Feb 2017

Du hast gerade die neue Abmahnfalle gefunden. ;)

Mithrandir 24. Feb 2017

Cloudflare verschick momentan Emails im Namen von Matthew Prince (mit seiner Email...

Proctrap 24. Feb 2017

siehe anderer thread, per state machine erzeugten code genommen und absichtlich geändert...


Folgen Sie uns
       


Geforce RTX 2070 - Test

Wir haben uns zwei Geforce RTX 2070, eine von Asus und eine von MSI, angeschaut. Beide basieren auf einem TU106-Chip mit 2.304 Shader-Einheiten und einem 256-Bit-Interface mit GByte GDDR6-Speicher. Das Asus-Modell hat mehr Takt und ein höhere Power-Target sowie eine leicht bessere Ausstattung, die MSI-Karte ist mit 520 Euro statt 700 Euro aber günstiger. Beide Geforce RTX 2070 schlagen die Geforce GTX 1080 und Radeon RX Vega 64.

Geforce RTX 2070 - Test Video aufrufen
Agilität: Wenn alle bestimmen, wo es langgeht
Agilität
Wenn alle bestimmen, wo es langgeht

Agiles Arbeiten ist, als ob viele Menschen gemeinsam ein Auto fahren. Aber wie soll das gehen und endet das nicht im Riesenchaos?
Von Marvin Engel

  1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
  2. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp
  3. IT-Jobs "Jedes Unternehmen kann es besser machen"

Geforce RTX 2070 im Test: Diese Turing-Karte ist ihr Geld wert
Geforce RTX 2070 im Test
Diese Turing-Karte ist ihr Geld wert

Die Geforce RTX 2070 ist die günstigste oder eher am wenigsten teure Turing-Grafikkarte von Nvidia. Sie ist schneller und sparsamer als eine Geforce GTX 1080 oder Vega 64 und kostet je nach Modell fast genauso viel. Wir haben zwei Geforce-RTX-2070-Varianten von Asus und MSI getestet.
Ein Test von Marc Sauter

  1. Turing-Grafikkarten Geforce RTX werden sparsamer bei multiplen Displays
  2. Turing-Grafikkarten Nvidias Founder's Editions gehen offenbar reihenweise kaputt
  3. Nvidia Turing Geforce RTX sollen Adobe Dimension beschleunigen

Remote Code Execution: Die löchrige Webseite des TÜV Süd
Remote Code Execution
Die löchrige Webseite des TÜV Süd

Der TÜV Süd vergibt Siegel für sichere Webseiten - und tut sich gleichzeitig enorm schwer damit, seine eigene Webseite abzusichern. Jetzt fand sich dort sogar eine Remote-Code-Execution-Lücke, die der TÜV erst im zweiten Anlauf behoben hat.
Ein Bericht von Hanno Böck

  1. Websicherheit Onlineshops mit nutzlosem TÜV-Siegel

    •  /