旧的代码困扰着Cloudflare与记忆泄漏恐慌
CloudFlare,内容交付服务已承认旧代码中的内存泄漏导致了可能无意中公开客户的私有数据的错误。
缺陷也被认为导致用于加密其数据中心内的内部服务器通信的安全密钥的泄漏。
根据BBC报告,每天多达120,000页可能受到错误的影响。
在详细的博客文章中解释了问题,公司的首席运营官约翰格雷厄姆 - 卡明写道:“因为CloudFlare操作了一个大型共享的基础架构,对CloudFlare网站的HTTP请求很容易受到这个问题的群体可以透露有关其他CloudFlare网站的信息。”
Graham-Cummingsaid CloudFlare也必须满足于自谷歌和其他搜索引擎的进一步问题,通过其正常爬行和缓存过程缓存了一些泄漏的内存。
“我们的自然倾向是尽快得到臭虫的消息,但我们觉得我们有责任,以确保在公开发布之前擦洗搜索引擎高速公路,”他说。“我们希望确保在公开披露问题之前从搜索引擎高速缓存擦洗此内存,以便第三方将无法寻找敏感信息。”
Graham-CummingsAid公司的InfoSecurity团队,与搜索引擎公司一起工作,已被缓存的770个独特的URI,其中包含泄漏的内存。“那些770个独特的Uris涵盖了161个独特的域名,”他说。“在搜索引擎的帮助下清除了泄漏的内存。”
阅读更多互联网基础架构安全故事
OpenSSL证书验证漏洞让攻击者冒充受加密保护的网站,电子邮件服务器和虚拟专用网络(VPN)。在本周的计算机周刊上,我们调查最近历史上最重要的缺陷来影响互联网。Openssl中的Hellbleed错误留下了易受攻击的数百万互联网服务器。有关的原始缺陷旧代码具有潜在的安全问题,该问题仅在迁移到更新软件期间识别。“我们的内部Infosec团队现在正在进行一个项目来模糊旧的软件寻找潜在的其他安全问题,”格雷厄姆 - 卡明斯在博客中说。
除外部网站以及外部网站,他承认了该错误还泄露了用于保护CloudFlare机器之间的连接的私钥。
“在处理客户网站的HTTP请求时,我们的边缘机器在机架内相互交谈,在数据中心内以及日志记录,缓存和从原始Web服务器中检索网页之间的数据中心之间交谈,”他说。
CloudFlarehas一直在加密这些服务器连接以减少黑客攻击,但Graham-Cumming表示泄露的私钥是用于本机到机器加密的私钥。
