CloudFlare lek

CloudFlare lek

Door een bug in de html-parser van CloudFlare konden gevoelige gegevens van klanten van het bedrijf lekken en stond data in de cache van zoekmachines. Na een melding van Google heeft de dienst voor optimalisatie van websites het lek in zeven uur gedicht.

CloudFlare meldt niet bekend te zijn met meldingen waaruit zou blijken dat er misbruik is gemaakt van de bug. De bug zou bestaan hebben tussen september vorig jaar en afgelopen week, meldt contentleverancier CloudFlare. Onder meer Fitbit en Uber zouden gebruik maken van de diensten van CloudFlare en dus mogelijk kwetsbaar zijn geweest. Door de fout in de code leidde een klein aantal verzoeken tot een geheugenlek. Onder meer headers, tokens en andere inloggegevens belandden daardoor in de cache van zoekmachines en waren zo vindbaar.

Fout in html-parser CloudFlare leidde tot risico lekken inloggegevens klanten

Googles Project Zero vond de bug en lichtte CloudFlare in. Na de melding zette binnen drie kwartier de dienst om e-mailadressen vaag te maken uit, wat een groot deel oploste. Naar eigen zeggen had CloudFlare het lek na zeven uur gedicht.

Het lek zat in de Ragel-code in de html-parser. Die parser verborg e-mailadressen en zette http-links om in https. De code checkte niet goed als het einde van de buffer was bereikt. Volgens CloudFlare was het gebruik van “>=” in plaats van “==” genoeg om het probleem te voorkomen.

 

Bron Tweakers

Trackbacks en pingbacks

    Geen trackback of pingback beschikbaar voor dit artikel.

    Laat een reactie achter