From bc1d70343807104ccf64b6bde9b2db54270203ff Mon Sep 17 00:00:00 2001 From: neodarz Date: Fri, 10 Mar 2017 11:58:22 +0100 Subject: Initiale release --- Ho_la_belle_prise_chez_CloudFlare.txt | 38 +++++++++++++++++++++++++++++++++++ 1 file changed, 38 insertions(+) create mode 100644 Ho_la_belle_prise_chez_CloudFlare.txt (limited to 'Ho_la_belle_prise_chez_CloudFlare.txt') diff --git a/Ho_la_belle_prise_chez_CloudFlare.txt b/Ho_la_belle_prise_chez_CloudFlare.txt new file mode 100644 index 0000000..534e43f --- /dev/null +++ b/Ho_la_belle_prise_chez_CloudFlare.txt @@ -0,0 +1,38 @@ +Titre: Ho la belle prise (chez CloudFlare) +Auteur: Pinaraf +Date: Fri 24 Feb 2017 09:08:23 +0100 +Lien: https://linuxfr.org/users/pied/journaux/ho-la-belle-prise-chez-cloudflare + +Coucou nal (zut ça marche pas) + +Cette nuit, Google a révélé par son «Project Zero» une faille de sécurité chez +CloudFlare, qui pourrait bien mériter le prix de faille de l'année. + +Depuis le 22 septembre 2016, avec une aggravation depuis le 30 janvier, +jusqu'au 18 février, certaines pages HTML mal formées permettaient, après +traitement par CloudFlare, de participer à une magnifique loterie : lors d'un +accès à la page, on obtenait la page et en cadeau bonux un bout de RAM du proxy +de CloudFlare, contenant donc des données potentiellement sensibles de +n'importe quel site passant par CloudFlare. +Les ingénieurs de Google ont trouvé ainsi des bouts de conversation sur des +sites de rencontre ou de chat, du contenu pornographique, des mots de passe… le +tout dans le cache Google, sinon c'était pas drôle. + +La réponse de CloudFlare est exemplaire en minimisation de l'impact de la +faille : +https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/[1] + +Le message de Google étant plus précis sur l'impact donc : +https://bugs.chromium.org/p/project-zero/issues/detail?id=1139[2] + +J'adore l'internet centralisé et les entreprises qui vendent du «man in the +middle»… +Télécharger ce contenu au format Epub[3] + +Lire les commentaires[4] + +Liens: +[1]: https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/ (lien) +[2]: https://bugs.chromium.org/p/project-zero/issues/detail?id=1139 (lien) +[3]: https://linuxfr.org/users/pied/journaux/ho-la-belle-prise-chez-cloudflare.epub (lien) +[4]: https://linuxfr.org/users/pied/journaux/ho-la-belle-prise-chez-cloudflare#comments (lien) -- cgit v1.2.1