In der Infrastruktur des Content Delivery Networks Cloudflare hat eine Sicherheitslücke dazu geführt, dass über Monate geheime Inhalte von Millionen Webseiten öffentlich gemacht wurden.

Nutzer der von Cloudflare gehosteten Seiten bekamen durch die Lücke mit dem Inhalt dieser Webseiten auch sensiblen Speicherinhalt anderer Webseiten ausgeliefert. Obwohl in diesem Fall nur Seiten betroffen waren, die Dienste von Cloudflare nutzen, erinnert die Situation an den OpenSSL-Bug Heartbleed. Deshalb hat die Lücke in sozialen Netzwerken den Spitznamen "Cloudbleed" erhalten.

Zu den Cloudflare Nutzern, die damit potenziell betroffen waren, gehören unter anderem die Webseiten 1Password, FitBit, OKCupid und Uber. 1Passwort betonte in einer Stellungnahme, dass die eigenen Nutzer nicht betroffen waren, da deren Daten entsprechend verschlüsselt waren und man nicht allein auf TLS vertraut habe.

Der Entdecker der Sicherheitslücke ist Googles Sicherheitsexperte Tavis Ormandy. Dieser machte direkt über Twitter auf sich aufmerksam, als er die Dringlichkeit des Problems erkannte. Anschließend kontaktierte ihn einer der Verantwortlichen bei Cloudflare. Die Firma schloss die Lücke umgehend. Dies gelang Ormandy allerdings erst, nachdem er einige Zeit damit verbrachte, den Technikern das komplexe Problem zu erklären.

Laut Ormandy gab es keine Möglichkeit, gezielt eine bestimmte Website anzugreifen oder Daten auszulesen. Ein Angreifer hätte trotzdem mit Gewalt immer weiter geheime Daten auslesen können, wie etwa ein staatlicher Geheimdienst.

(ms, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE