篮球体育生被捆绑玩弄j,中文精品无码中文字幕无码专区,久久久久亚洲AV片无码下载蜜桃,日韩去日本高清在线

安全公告編號:CNTA-2017-0015

近日，國家信息安全漏洞共享平臺（CNVD）收錄了CloudFlare服務器存在的緩沖區(qū)溢出漏洞（CNVD-2017-02009,又稱Cloudbleed“云滴血”）。遠程攻擊者可利用漏洞獲取服務器上的緩存信息（如：身份驗證cookie、API密鑰和登錄認證等敏感信息），對在Cloudflare上運行并提供服務的大量網站構成信息泄露和運行安全風險。

一、漏洞情況分析

CloudFlare是美國一家內容分發(fā)網絡（CDN）和網絡安全提供商，CloudFlare充當用戶和Web服務器之間的代理，通過CloudFlareedge servers解析內容以優(yōu)化和安全性，從而降低對原始主機服務器的請求數(shù)量。CloudFlare服務的網站數(shù)量全球超過550萬。

Cloudbleed漏洞的技術成因是CloudFlare edge servers使用“==”而非“>=”運算符檢查緩沖區(qū)的末尾，并且指針能夠跳過緩沖區(qū)的末尾，導致緩沖區(qū)溢出并返回包含隱私數(shù)據如 HTTP cookies、身份驗證令牌、HTTP POST正文等的，這些泄露的數(shù)據被緩存在搜索引擎及其他服務器緩存中。遠程攻擊者可利用漏洞獲取身份驗證cookie和登錄認證等敏感信息，并發(fā)起進一步攻擊。

CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

Cloudbleed影響很多專業(yè)組織和企業(yè)包括 Uber，F(xiàn)itbit，1Password 和OKCupid等影響無數(shù)的個人用戶隱私數(shù)據的安全。通常情況下，移動應用像瀏覽器一樣使用HTTPS (SSL/TLS)與相同的后端服務進行交互，因此Cloudbleed也會影響移動互聯(lián)網應用服務供商。

Cloudflare已經修復了該漏洞，谷歌、雅虎、必應等搜索引擎廠商已經開始刪除泄露數(shù)據的緩存副本，但仍有可能一些數(shù)據存儲在其他網絡搜索引擎（如DuckDuckGo）及其他服務器緩存中。

附：參考鏈接：

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02009

http://securityaffairs.co/wordpress/56617/data-breach/cloudbleed-cloudflare-flaw.html?nsukey=tST%2FMUfXoHtoZ%2B%2BaO4r%2BGiHvdY2uQ82z83Uj%2FYj0nLDjZ66%2BYvr1154iy0sjI3xZZeq8qQownP6EI67TLv3LR3Ndni19LeqEvZDXMZCW66VIbDcQpY4zSKUYgDGPOld5pinkKbcMEZSd6ZtKm0xB3dDqAM%2Bu3OL66AYwnTf4jjYKqGPKPquhHmpOCJzgKz0J&from=groupmessage