Schwerwiegende Sicherheitsluecke bei Cloudflare entdeckt

Aktuelles rund um das Thema IT-Sicherheit
Antworten
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Schwerwiegende Sicherheitsluecke bei Cloudflare entdeckt

Beitrag von NoG »

Bei dem Internet-Dienstleister Cloudflare ist eine schwerwiegende Sicherheitsluecke bekanntgeworden, die auch zur Kompromittierung von Zugangsdaten zu Websites gefuehrt haben kann.

Cloudflare bietet Website-Betreibern verschiedene Dienste an, unter anderem den Schutz vor DDOS-Angriffen. Hierzu wird beim Aufruf einer entsprechenden Website zunaechst die Anfrage an Cloudflare geleitet, so dass die Server des Dienstes quasi als Vermittler zwischen Besucher und Website stehen.

Durch einen Programmierfehler kam es nun dazu, dass bei Aufrufen von Websites auch - teilweise eben sensible - Daten anderer Websites an den Benutzer uebertragen wurden. Dies geschah nicht nur bei menschlichen Nutzern, sondern auch zum Beispiel bei Besuchen von Crawlern von Suchmaschinen, so dass die entsprechenden Daten auch in deren Bestand gespeichert wurden und auffindbar waren. Zwar handelte es sich um zufaellig uebertragene Daten - ein gezielter Angriff auf eine Website war so also nicht moeglich - andererseits waere es zumindest theoretisch moeglich gewesen, bei Kenntnis der Luecke durch eine sehr hohe Anzahl von Seitenaufrufen zufaellig an gewuenschte Daten zu gelangen.

Auf der Website Github wurde eine Liste mit Websites veroeffentlicht, die die Dienste von Cloudflare nutzen und so zumindest von dem Problem betroffen sein koennten.

Zu den bekanntesten .de-Websites gehoeren:
- billiger.de
- deutsche-wirtschafts-nachrichten.de
- hardwareluxx.de
- kleiderkreisel.de
- klicktel.de
- mydealz.de
- pcgames.de
- pcgameshardware.de
- promiflash.de
- stadt-bremerhaven.de
- utrace.de

International sind fuer deutschsprachige Benutzer die Websites
- 4chan.org
- yelp.com
- okcupid.com
- zendesk.com
- uber.com

erwaehnenswert, wobei beide Listen keinesfalls vollstaendig sind. Die komplette Liste von Cloudflare nutzenden Websites hat eine Groesse von 70MB!

Benutzer, die sich seit dem September des vergangenen Jahres an einer der genannten Websites mit Zugangsdaten angemeldet haben, sollten ihr Kennwort umgehend aendern.
We have bugs the likes of which even God has never seen!
Antworten