Af Torben B. Sørensen, 24/02/17
CDN-firmaet (Content Delivery Network) Cloudflare har på grund af en fejl lækket tilfældige data i svar sendt til web-browsere. Dataene kan omfatte passwords og andre fortrolige oplysninger.
En lang række websteder kører bag Cloudflare, der blandt andet beskytter mod DDoS-angreb. Tjenesten læser HTML-koden i webstederne og ændrer den, så links bliver omdirigeret.
I denne omskrivning af HTML er fejlen opstået, så data fra arbejdslageret blev sendt med ud til browserne.
Ifølge Cloudflare er det hovedsagelig sket mellem den 13. og 18. februar, hvor fejlen blev opdaget. Der skete lækage ved cirka en ud af 3,3 millioner HTTP-forespørgsler.
Sikkerhedsforsker Tavis Ormandy fra Google opdagede fejlen. Han oplyser, at Google har forsøgt at fjerne de lækkede data fra firmaets søgemaskine.
Anbefaling
Brugere af Cloudflare skal være opmærksomme på, at data i sjældne tilfælde kan være lækket.
Links
- Incident report on memory leak caused by Cloudflare parser bug, blogindlæg fra Cloudflare
- cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory, information fra Googles Project Zero