Cloudflare schließt Lücke, die Nutzerdaten offenbarte

24. Februar 2017 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Es gibt wieder schlechte Nachrichten aus dem Bereich der Sicherheit. Die schlechte Nachricht hat in Anlehnung an die OpenSSL-Lücke (Heartbleed) von 2014 den Namen Cloudbleed spendiert bekommen. Gefunden hat sie Tavis Ormandy von Google, der schon zahlreiche Sicherheitslücken ausfindig gemacht hat – unter anderem eine im Passwortmanager LastPass. Es ist eine Lücke, vor der sich ein Nutzer nicht hätte schützen können, ebenso wie damals bei Heartbleed. Schuld ist der Dienstleister Cloudflare. Dieser sorgt für ein Content Delivery Network mit anhängigem DNS.

Zahlende Kunden können so die Last auf den eigenen Server abfedern, indem die Webseiten über Cloudflare an die Besucher ausgeliefert werden. Teile unserer Seite werden auch über Cloudflare ausgeliefert.

Die technischen Details des Sicherheitsproblems findet man im Blog von Cloudflare und im Posting von Tavis Ormandy.

In speziellen Fällen konnte es zu einem Speicherüberlauf kommen, was dazu führte, dass Inhalte, die auf Cloudflare-Webseiten eingegeben wurden, öffentlich gecached und teilweise von Suchmaschinen indexiert wurden.

Unter den gefundenen Daten befanden sich beispielsweise IP-Adressen, Mail-Adressen, Passwörter und Konversationen jeglicher Art. Betroffen sind nicht grundsätzlich alle Seiten, die mit Coudflare arbeiten, sondern nur welche, die einen speziellen Fehler aufwiesen.

Cloudflare-Info

It turned out that in some unusual circumstances, which I’ll detail below, our edge servers were running past the end of a buffer and returning memory that contained private information such as HTTP cookies, authentication tokens, HTTP POST bodies, and other sensitive data. And some of that data had been cached by search engines.

Laut Cloudflare war die Hochzeit des Bugs zwischen dem 13. und 18. Februar. Dort gab es einen potentiellen Fall pro 3,3 Millionen HTTP-Anfragen. Nachdem man vom Bug erfuhr, setzt man ein Team darauf an, welches den Fehler innerhalb weniger Stunden auffinden und beheben konnte.

Cloudflare nutzen unzählige Seiten im Netz. Dort, wo ihr nichts eingegeben habt an sensiblen Daten, da kann auch nichts passieren. Aber wisst ihr, welche Seiten Cloudflare nutzen? Ob vielleicht ihr einer der „gecachten Fälle“ seid? Von daher muss man eigentlich sagen: Es ist angeraten, Passwörter zu ändern und die Zwei-Faktor-Authentifizierung zu aktivieren, wo möglich. Damit hat man auf jeden Fall was zu tun.


 

Anzeige: Der neue Karriereservice von Caschys Blog in Kooperation mit Instaffo. Lass dich von Unternehmen finden. Jetzt kostenfrei anmelden!

Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 23571 Artikel geschrieben.