Titre: Ho la belle prise (chez CloudFlare)
Auteur: Pinaraf
Date: Fri 24 Feb 2017 09:08:23 +0100
Lien: https://linuxfr.org/users/pied/journaux/ho-la-belle-prise-chez-cloudflare

Coucou nal (zut ça marche pas)

Cette nuit, Google a révélé par son «Project Zero» une faille de sécurité chez 
CloudFlare, qui pourrait bien mériter le prix de faille de l'année.

Depuis le 22 septembre 2016, avec une aggravation depuis le 30 janvier, 
jusqu'au 18 février, certaines pages HTML mal formées permettaient, après 
traitement par CloudFlare, de participer à une magnifique loterie : lors d'un 
accès à la page, on obtenait la page et en cadeau bonux un bout de RAM du proxy
de CloudFlare, contenant donc des données potentiellement sensibles de 
n'importe quel site passant par CloudFlare.
Les ingénieurs de Google ont trouvé ainsi des bouts de conversation sur des 
sites de rencontre ou de chat, du contenu pornographique, des mots de passe… le
tout dans le cache Google, sinon c'était pas drôle.

La réponse de CloudFlare est exemplaire en minimisation de l'impact de la 
faille : 
https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/[1]

Le message de Google étant plus précis sur l'impact donc : 
https://bugs.chromium.org/p/project-zero/issues/detail?id=1139[2]

J'adore l'internet centralisé et les entreprises qui vendent du «man in the 
middle»…
Télécharger ce contenu au format Epub[3]

Lire les commentaires[4]

Liens:
[1]: https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/ (lien)
[2]: https://bugs.chromium.org/p/project-zero/issues/detail?id=1139 (lien)
[3]: https://linuxfr.org/users/pied/journaux/ho-la-belle-prise-chez-cloudflare.epub (lien)
[4]: https://linuxfr.org/users/pied/journaux/ho-la-belle-prise-chez-cloudflare#comments (lien)