Bug-using vom Freitag auf Samstag
am 05.08.2019 17:48
von
Wolfgang
am 5. August 2019 17:48
Liebe Cuneros-Seitenbetreiber,
am Freitag auf Samstag gab es den Angriff eines Users auf mehrere externe Cuneros.de-Seiten.
Dabei wurde ein Bug ausgenutzt, der auf manchen Serverkonfigurationen und in manchen Implementierungen der Kommunikationseinheit mit unserer API auftritt.
Vorab: Der Fehler liegt nicht in der Cuneros.de API. Diese arbeitet korrekt.
Der Fehler liegt daran, dass einige Serverkonfigurationen dafür sorgen, dass ein Zugriff auf unsere API gecached bzw. der Request wiederverwendet wird.
Das tritt möglicherweise dann auf, wenn z.B. die "externe ID" nicht genutzt wird. Der Fehler war also problemlos vermeidbar.
Zusätzlich haben wir nun einen weiteren Parameter hinzugefügt, in dem eine Zufallszahlenfolge gespeichert werden kann. Diese wird nach Abfrage auch zurückgegeben.
Damit ergeben sich zwei Vorteile:
a) durch die Zufallszahl wird die Abfrage nicht mehr gecached
b) durch die Rückgabe wird sichergestellt, dass die Antwort auch zur Abfrage passt.
Falls bei Einzelnen noch nicht geschehen nun der Rat, diese Aktualisierung anzuwenden oder selbst dafür zu sorgen, dass dieses Problem nicht auftritt.
Die Cuneros.de API wurde nicht deaktiviert. Der betreffende Nutzer + alle seine Fake-Accounts wurden gesperrt.
Wir haben einen Lösungsvorschlag in unser öffentliches Github-Repository geladen.
Wir arbeiten nun daran, das Diebesgutes wieder an euch Seitenbetreiber zu verteilen. Alles wird nicht wieder zu holen sein, doch einen Teil können wir euch wieder zurückgeben.
Dieser Thread soll nun dazu dienen, dass ihr euch untereinander helft die Lücke zu schließen und wir alle hier darüber informieren und diskutieren können.
Zudem könnt ihr uns unglaublich damit helfen, wenn ihr euren Schaden beziffert und an einen (oder alle) der Admins schreibt. Damit können wir baldmöglich mit der anteilhaften Zurückzahlung beginnen. DANKE
Gruß
Wolfgang
am Freitag auf Samstag gab es den Angriff eines Users auf mehrere externe Cuneros.de-Seiten.
Dabei wurde ein Bug ausgenutzt, der auf manchen Serverkonfigurationen und in manchen Implementierungen der Kommunikationseinheit mit unserer API auftritt.
Vorab: Der Fehler liegt nicht in der Cuneros.de API. Diese arbeitet korrekt.
Der Fehler liegt daran, dass einige Serverkonfigurationen dafür sorgen, dass ein Zugriff auf unsere API gecached bzw. der Request wiederverwendet wird.
Das tritt möglicherweise dann auf, wenn z.B. die "externe ID" nicht genutzt wird. Der Fehler war also problemlos vermeidbar.
Zusätzlich haben wir nun einen weiteren Parameter hinzugefügt, in dem eine Zufallszahlenfolge gespeichert werden kann. Diese wird nach Abfrage auch zurückgegeben.
Damit ergeben sich zwei Vorteile:
a) durch die Zufallszahl wird die Abfrage nicht mehr gecached
b) durch die Rückgabe wird sichergestellt, dass die Antwort auch zur Abfrage passt.
Falls bei Einzelnen noch nicht geschehen nun der Rat, diese Aktualisierung anzuwenden oder selbst dafür zu sorgen, dass dieses Problem nicht auftritt.
Die Cuneros.de API wurde nicht deaktiviert. Der betreffende Nutzer + alle seine Fake-Accounts wurden gesperrt.
Wir haben einen Lösungsvorschlag in unser öffentliches Github-Repository geladen.
Wir arbeiten nun daran, das Diebesgutes wieder an euch Seitenbetreiber zu verteilen. Alles wird nicht wieder zu holen sein, doch einen Teil können wir euch wieder zurückgeben.
Dieser Thread soll nun dazu dienen, dass ihr euch untereinander helft die Lücke zu schließen und wir alle hier darüber informieren und diskutieren können.
Zudem könnt ihr uns unglaublich damit helfen, wenn ihr euren Schaden beziffert und an einen (oder alle) der Admins schreibt. Damit können wir baldmöglich mit der anteilhaften Zurückzahlung beginnen. DANKE
Gruß
Wolfgang
0
0
