![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Sicherheitspanne beim Anbieter Cloudflare. Ein Bug bewirkte, dass vertrauliche Nutzerdaten (Kennw\u00f6rter, Authentifizierungs-Tokens) wohl \u00fcber Monate \u00f6ffentlich abrufbar waren.<\/p>\nSicherheitspanne beim Anbieter Cloudflare. Ein Bug bewirkte, dass vertrauliche Nutzerdaten (Kennw\u00f6rter, Authentifizierungs-Tokens) wohl \u00fcber Monate \u00f6ffentlich abrufbar waren.<\/p>\n
<\/p>\n
Nun musste Cloudflare CTO John Graham-Cumming bekennen, dass dem Anbieter ein Fehler unterlaufen ist. In diesem Blog-Beitrag<\/a> legt er gestern Informationen \u00fcber ein Memory Leak, verursacht durch einen Cloudflare Parser Bug, offen, \u00fcber welches Dritte auf vertrauliche Informationen im Speicher h\u00e4tten zugreifen k\u00f6nnen.<\/p>\n Der Fehler wurde letzten Freitag von Tavis Ormandy<\/a> vom Google Project Zero<\/a> an Cloudflare gemeldet. Ihm war folgendes aufgefallen: Die von Cloudflare eingesetzten Edge-Server lieferten auf Grund des Memory Leaks pl\u00f6tzlich kaputte Webseiten bei bestimmten HTTP-Aufrufen, die \u00fcber Cloudflare ausgeliefert wurden, zur\u00fcck. Durch den Speicher\u00fcberlauf wurden Daten mit dem http-Abruf geliefert, die private Informationen wie HTTP Cookies, Authentication Token, HTTP POST-Bodies und weitere sensitive Daten enthielten. Ungl\u00fccklicherweise wurden diese Aufrufe im Cache von Suchdiensten wie Google & Co. gespeichert. Tavis Ormandy hat den Sachverhalt, rund um #Cloudbood, hier offen gelegt<\/a>. Die Frage im zweitletzten Post in diesem Thread habe ich hier<\/a> beantwortet.<\/p>\n Cloudflare konnte die Ursache schnell identifizieren und beheben. Ein Team hat auch die Folgen analysiert. Mit Unterst\u00fctzung von Google, Yahoo, Bing und anderen Anbietern wurden 770 eindeutige URIs in den Caches gefunden. Diese verwiesen auf 161 Domains. Die Cache-Speicher der Suchmaschinen wurden um diese Daten bereinigt. Damit sollte die Gefahr, dass jemand nachtr\u00e4glich an die Daten gelangt, gebannt sein. Im Anschluss hat Cloudflare die Details in diesem Blog-Beitrag<\/a> offen gelegt. (via<\/a>, via<\/a>)<\/p>\nCloudflare ist mir als Anbieter bekannt, den man einsetzt, um seine Webseiten sicher und bei hoher Last auch mit vern\u00fcnftigen Geschwindigkeiten auszuliefern. Cloudflare kann dazu ein Content Delivery Network (CDN) einsetzen. Bei DDoS-Angriffen auf Websites wird der Dienst gerne verwendet, um das Ganze ins Leere laufen zu lassen. Ein paar Informationen findet man zum Anbieter bei Wikipedia<\/a>.<\/p>\n
![](\"https:\/\/i.imgur.com\/Bya85Nb.jpg\")
<\/a>
\n(Quelle: Google Zero)<\/p>\n