Cloudflare schließt Lücke, die Nutzerdaten offenbarte
Es gibt wieder schlechte Nachrichten aus dem Bereich der Sicherheit. Die schlechte Nachricht hat in Anlehnung an die OpenSSL-Lücke (Heartbleed) von 2014 den Namen Cloudbleed spendiert bekommen. Gefunden hat sie Tavis Ormandy von Google, der schon zahlreiche Sicherheitslücken ausfindig gemacht hat – unter anderem eine im Passwortmanager LastPass. Es ist eine Lücke, vor der sich ein Nutzer nicht hätte schützen können, ebenso wie damals bei Heartbleed. Schuld ist der Dienstleister Cloudflare. Dieser sorgt für ein Content Delivery Network mit anhängigem DNS.
Zahlende Kunden können so die Last auf den eigenen Server abfedern, indem die Webseiten über Cloudflare an die Besucher ausgeliefert werden. Teile unserer Seite werden auch über Cloudflare ausgeliefert.
Die technischen Details des Sicherheitsproblems findet man im Blog von Cloudflare und im Posting von Tavis Ormandy.
In speziellen Fällen konnte es zu einem Speicherüberlauf kommen, was dazu führte, dass Inhalte, die auf Cloudflare-Webseiten eingegeben wurden, öffentlich gecached und teilweise von Suchmaschinen indexiert wurden.
Unter den gefundenen Daten befanden sich beispielsweise IP-Adressen, Mail-Adressen, Passwörter und Konversationen jeglicher Art. Betroffen sind nicht grundsätzlich alle Seiten, die mit Coudflare arbeiten, sondern nur welche, die einen speziellen Fehler aufwiesen.
It turned out that in some unusual circumstances, which I’ll detail below, our edge servers were running past the end of a buffer and returning memory that contained private information such as HTTP cookies, authentication tokens, HTTP POST bodies, and other sensitive data. And some of that data had been cached by search engines.
Laut Cloudflare war die Hochzeit des Bugs zwischen dem 13. und 18. Februar. Dort gab es einen potentiellen Fall pro 3,3 Millionen HTTP-Anfragen. Nachdem man vom Bug erfuhr, setzt man ein Team darauf an, welches den Fehler innerhalb weniger Stunden auffinden und beheben konnte.
Cloudflare nutzen unzählige Seiten im Netz. Dort, wo ihr nichts eingegeben habt an sensiblen Daten, da kann auch nichts passieren. Aber wisst ihr, welche Seiten Cloudflare nutzen? Ob vielleicht ihr einer der „gecachten Fälle“ seid? Von daher muss man eigentlich sagen: Es ist angeraten, Passwörter zu ändern und die Zwei-Faktor-Authentifizierung zu aktivieren, wo möglich. Damit hat man auf jeden Fall was zu tun.
Wie hast du eigentlich das Hosting momentan gelöst?
Benutzt du ein CDN? Wäre ja auch mal einen Beitrag wert 🙂
Wir sind gerade mit unserer Firmenseite (auch WordPress) zu Raidboxes umgezogen. Bin bisher sehr zufrieden. Support war gut (das Einrichten des SSL-Zertifikats war etwas tricky wegen einiger Plugins). Der Umzug wurde vollständig von Raidboxes erledigt.
Mit der Geschwindigkeit sind wir auf jeden Fall sehr zufrieden.
Das einzige was mich stört: Raidboxes wurde von Axel Springer übernommen 😉
@Tuffelhinni: Domainfactory, JiffyBoxes und CDN. Steht ja auch im Text 😉
@caschy Ups, den Absatz hatte ich überlesen 🙂
Jiffyboxes kannte ich noch nicht, aber ist ja auch nicht gerade günstig.
1,2s bei pingdom…not bad!
https://haveibeenpwned.com/
Hier ist übrigens eine Liste der Dienste, welche auf Cloudflare setzen:
https://github.com/pirate/sites-using-cloudflare
Authy steht da übrigens mit drauf.
Syncing of TOTP-secrets over the internet… what could possibly go wrong?
Der Project-Zero Bericht von Travis hört sich echt übel an, hier sind zwei Highlights:
„We fetched a few live samples, and we observed encryption keys, cookies, passwords, chunks of POST data and even HTTPS requests for other major cloudflare-hosted sites from other users. Once we understood what we were seeing and the implications, we immediately stopped and contacted cloudflare security.“
„The examples we’re finding are so bad, I cancelled some weekend plans to go into the office on Sunday to help build some tools to cleanup. I’ve informed cloudflare what I’m working on. I’m finding private messages from major dating sites, full messages from a well-known chat service, online password manager data, frames from adult video sites, hotel bookings. We’re talking full https requests, client IP addresses, full responses, cookies, passwords, keys, data, everything.“
Hi zusammen und Tuffelhinni danke für dein tolles Feedback bezüglich unseres WordPress Hostings. Kleine Korrektur: Wir sind nicht teil des Axel Springer Verlags und sind völlig autark als Jungunternehmen unterwegs. Was wir bekommen haben ist ein staatliches Funding vom HTGF. VG Torben & Team
@Jim-Phelps
Der letzte Absatz deines Comments ist der Hammer! Danke für die Infos.! Da wird einem schlecht…
@Torben
Der Hinweis mit dem Funding kann eure Rettung sein 😉
Glück gehabt @sunworker! 🙂