Cloudflare исправила уязвимость, которая затрагивала почти 13% веб-сайтов

Обсудить
Cloudflare исправила уязвимость, которая затрагивала почти 13% веб-сайтов

По информации из блога RyotaK, сервис CDNJS, разработанный и поддерживаемый компанией Cloudflare, содержал уязвимость, которая ставила под угрозу 12,7% сайтов по всему интернету. 

CDNJS – это популярная платформа для ускоренной доставки JavaScript-библиотек. Недавно в ней была исправлена критическая ошибка, позволяющая передавать на чужой сервер подменные JavaScript-библиотеки с вредоносным кодом. Таким образом злоумышленники могли бы перехватывать данные с чужих ресурсов или внедрять вирусы на сайтах, пользующихся услугами CDN-службы компании Cloudflare. 

Как пишет SecurityLab.ru, автор материала об ошибке в своем блоге продемонстрировал потенциальный сценарий использования уязвимости. Он создал поддельную библиотеку и опубликовал ее в NPM. После этого в одну из версий он добавил скрытые bash-скрипты, позволяющие воспользоваться некорректной работой встроенного в систему архиватора. Это разрешило внедрить утилиты и получить доступ к записи данных и к модификации библиотек в кэше Cloudflare.

Специалисты Cloudflare узнали о существовании проблемы в рамках платформы HackerOne и смогли исправить ее за сутки, поэтому сейчас воспользоваться уязвимостью и внедрить вредоносный код через CDNJS не получится.

Комментарии

С помощью соцсетей
У меня нет аккаунта Зарегистрироваться
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
С помощью соцсетей
У меня уже есть аккаунт Войти
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
Инструкции по восстановлению пароля высланы на Ваш адрес электронной почты.
Пожалуйста, укажите email вашего аккаунта