Реклама ООО Таймвэб
Реклама ООО Таймвэб
Реклама ООО Таймвэб

Cloudflare исправила уязвимость, которая затрагивала почти 13% веб-сайтов

1 комментарий
Cloudflare исправила уязвимость, которая затрагивала почти 13% веб-сайтов

По информации из блога RyotaK, сервис CDNJS, разработанный и поддерживаемый компанией Cloudflare, содержал уязвимость, которая ставила под угрозу 12,7% сайтов по всему интернету. 

CDNJS – это популярная платформа для ускоренной доставки JavaScript-библиотек. Недавно в ней была исправлена критическая ошибка, позволяющая передавать на чужой сервер подменные JavaScript-библиотеки с вредоносным кодом. Таким образом злоумышленники могли бы перехватывать данные с чужих ресурсов или внедрять вирусы на сайтах, пользующихся услугами CDN-службы компании Cloudflare. 

Как пишет SecurityLab.ru, автор материала об ошибке в своем блоге продемонстрировал потенциальный сценарий использования уязвимости. Он создал поддельную библиотеку и опубликовал ее в NPM. После этого в одну из версий он добавил скрытые bash-скрипты, позволяющие воспользоваться некорректной работой встроенного в систему архиватора. Это разрешило внедрить утилиты и получить доступ к записи данных и к модификации библиотек в кэше Cloudflare.

Специалисты Cloudflare узнали о существовании проблемы в рамках платформы HackerOne и смогли исправить ее за сутки, поэтому сейчас воспользоваться уязвимостью и внедрить вредоносный код через CDNJS не получится.

Если человек настраивает сервер, это не новость; новость – если сервер настраивает человека.
Новый подкаст от Timeweb

Комментарии

Гамлиэль Фишкин +106
27 марта в 21:14
Вообще-то считается признаком хорошего тона адресно сообщить о найденной уязвимости и сто дней не публиковать.
С помощью соцсетей
У меня нет аккаунта Зарегистрироваться
С помощью соцсетей
У меня уже есть аккаунт Войти
Инструкции по восстановлению пароля высланы на Ваш адрес электронной почты.
Пожалуйста, укажите email вашего аккаунта
Ваш баланс 10 ТК
1 ТК = 1 ₽
О том, как заработать и потратить Таймкарму, читайте в этой статье
Чтобы потратить Таймкарму, зарегистрируйтесь на нашем сайте