亚洲中文字幕无码久久2017,久久AV无码精品人妻系列,国产男女无遮挡猛进猛出,亚洲s码欧洲m码国产AV

安全公告編號(hào):CNTA-2017-0015

近日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了CloudFlare服務(wù)器存在的緩沖區(qū)溢出漏洞（CNVD-2017-02009,又稱Cloudbleed“云滴血”）。遠(yuǎn)程攻擊者可利用漏洞獲取服務(wù)器上的緩存信息（如：身份驗(yàn)證cookie、API密鑰和登錄認(rèn)證等敏感信息），對(duì)在Cloudflare上運(yùn)行并提供服務(wù)的大量網(wǎng)站構(gòu)成信息泄露和運(yùn)行安全風(fēng)險(xiǎn)。

一、漏洞情況分析

CloudFlare是美國(guó)一家內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）和網(wǎng)絡(luò)安全提供商，CloudFlare充當(dāng)用戶和Web服務(wù)器之間的代理，通過(guò)CloudFlareedge servers解析內(nèi)容以優(yōu)化和安全性，從而降低對(duì)原始主機(jī)服務(wù)器的請(qǐng)求數(shù)量。CloudFlare服務(wù)的網(wǎng)站數(shù)量全球超過(guò)550萬(wàn)。

Cloudbleed漏洞的技術(shù)成因是CloudFlare edge servers使用“==”而非“>=”運(yùn)算符檢查緩沖區(qū)的末尾，并且指針能夠跳過(guò)緩沖區(qū)的末尾，導(dǎo)致緩沖區(qū)溢出并返回包含隱私數(shù)據(jù)如 HTTP cookies、身份驗(yàn)證令牌、HTTP POST正文等的，這些泄露的數(shù)據(jù)被緩存在搜索引擎及其他服務(wù)器緩存中。遠(yuǎn)程攻擊者可利用漏洞獲取身份驗(yàn)證cookie和登錄認(rèn)證等敏感信息，并發(fā)起進(jìn)一步攻擊。

CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。

二、漏洞影響范圍

Cloudbleed影響很多專業(yè)組織和企業(yè)包括 Uber，F(xiàn)itbit，1Password 和OKCupid等影響無(wú)數(shù)的個(gè)人用戶隱私數(shù)據(jù)的安全。通常情況下，移動(dòng)應(yīng)用像瀏覽器一樣使用HTTPS (SSL/TLS)與相同的后端服務(wù)進(jìn)行交互，因此Cloudbleed也會(huì)影響移動(dòng)互聯(lián)網(wǎng)應(yīng)用服務(wù)供商。

Cloudflare已經(jīng)修復(fù)了該漏洞，谷歌、雅虎、必應(yīng)等搜索引擎廠商已經(jīng)開始刪除泄露數(shù)據(jù)的緩存副本，但仍有可能一些數(shù)據(jù)存儲(chǔ)在其他網(wǎng)絡(luò)搜索引擎（如DuckDuckGo）及其他服務(wù)器緩存中。

附：參考鏈接：

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02009

http://securityaffairs.co/wordpress/56617/data-breach/cloudbleed-cloudflare-flaw.html?nsukey=tST%2FMUfXoHtoZ%2B%2BaO4r%2BGiHvdY2uQ82z83Uj%2FYj0nLDjZ66%2BYvr1154iy0sjI3xZZeq8qQownP6EI67TLv3LR3Ndni19LeqEvZDXMZCW66VIbDcQpY4zSKUYgDGPOld5pinkKbcMEZSd6ZtKm0xB3dDqAM%2Bu3OL66AYwnTf4jjYKqGPKPquhHmpOCJzgKz0J&from=groupmessage