在我們的 AI 產品中緩解權杖長度旁路攻擊
2024-03-14
最近,Workers AI 和 AI Gateway 團隊與本·古里安大學的網路安全研究人員就我們「公開漏洞懸賞」活動中收到的一份報告展開了密切合作。透過此程序,我們發現並完全修補了一個影響所有 LLM 提供者的漏洞。下面是具體情況...
繼續閱讀 »
使用 Cloudflare One 消除 VPN 漏洞
2024-03-06
由於 Ivanti Connect Secure 和 Policy Secure 漏洞,美國網路安全和基礎架構安全局 (CISA) 最近發出了緊急指令。在這篇部落格中,我們討論了利用這些漏洞的威脅行為者策略...
修復新的 DNSSEC 資源耗盡漏洞
2024-02-29
Cloudflare 最近修復了兩個嚴重的 DNSSEC 漏洞:CVE-2023-50387 和 CVE-2023-50868。這兩個漏洞都會耗盡驗證 DNS 解析程式的運算資源。這些漏洞不會影響我們的權威 DNS 或 DNS 防火牆產品...
Cloudflare 的 AI WAF 如何主動偵測到 Ivanti Connect Secure 關鍵 zero-day 漏洞
2024-01-23
Cloudflare 於 2024 年 1 月 17 日發佈了緊急規則,專門解決了這兩個漏洞,為不利用 AI 模型的客戶在應對這些威脅方面提供了巨大優勢...
HTTP/2 Rapid Reset:解構破紀錄的攻擊
2023-10-10
本文將深入探討 HTTP/2 通訊協定、攻擊者用於發動這些大規模攻擊的功能,以及我們為確保所有客戶均受到保護而採取的緩解策略...
更多貼文
2023年10月10日 下午12:02
HTTP/2 Zero-Day 漏洞導致破紀錄的 DDoS 攻擊
「HTTP/2 Rapid Reset」攻擊利用 HTTP/2 通訊協定中的弱點來產生巨大的超容量 DDoS 攻擊。近幾個月來,Cloudflare 緩解了一系列此類攻擊,其中包括一起比我們之前觀察到的任何攻擊規模大三倍的攻擊...
- 作者:
2023年8月04日 下午6:29
揭露 2022 年最常被利用的漏洞
在本報告中,我們回顧了 Cloudflare 關於 2022 年最常被利用漏洞(根據 CISA)的資料...
- 作者:
2023年1月31日 下午2:00
CVE-2022-47929:流量控制 noqueue 沒問題?
在 6.1.6 之前的 Linux 核心中,流量控制子系統中的 NULL 指標取值錯誤可讓無權限使用者透過使用「tc qdisc」和「tc class」命令設定的特製流量控制設定,觸發阻斷服務(系統當機)...
- 作者:
2022年11月02日 上午9:31
Cloudflare 不受 OpenSSL 漏洞 CVE-2022-3602 和 CVE-2022-3786 的影響
有關 CVE-2022-3602 和 CVE-2022-3786 的資訊,以及 Cloudflare 未受到影響的原因...
- 作者:
2022年5月26日 下午1:17
Cloudflare 處理 BMC 漏洞的方式
Cloudflare 處理韌體漏洞的方式,以及我們如何保護內部資料...
- 作者:
2021年12月15日 下午1:56
防範 CVE-2021-45046 ─ 額外的 Log4j RCE 漏洞
緊接著 CVE-2021-44228 之後,隨之發佈了第二個 Log4J CVE──CVE-2021-45046。對於這個新的 CVE,我們先前針對 CVE-2021-44228 發佈的規則也能夠提供相同等級的防護...
- 作者:
2021年12月14日 下午5:48
Log4j CVE-2021-44228 在公開揭露之前的漏洞利用,以及規避與滲漏的演變
在此部落格文章中,我們將探討世界上常見的 WAF 規避模式與滲漏嘗試、所嘗試之漏洞利用的趨勢資料,以及我們在 CVE-2021-44228 公開揭露之前看到的漏洞利用相關資訊。...
- 作者:
2021年12月14日 上午10:23
處理 Cloudflare 記錄以保護客戶免受 Log4j 攻擊
2021 年 12 月 9 日,全世界得知 CVE-2021-44228 這種零時差漏洞利用正在影響 Apache Log4j 公用程式。Cloudflare 立即更新了我們的 WAF 以協助防範這個漏洞,但...
- 作者:
2021年12月10日 下午11:39
Cloudflare 安全性如何回應 Log4j 2 漏洞
當 Cloudflare 知曉發生新的安全性漏洞時,我們快速將團隊集合起來回答二個不同問題:(1) 我們可以做什麼以確保我們客戶的基礎結構受到保護,以及 (2) 我們可以做什麼以確保我們自身環境安全...
- 作者:
2021年12月10日 下午9:06
外部擷取到的實際 CVE-2021-44228 負載
我不久前曾寫到有關如何緩解 Log4j 中的 CVE-2021-44228、漏洞的緣由以及 Cloudflare 為客戶提供的緩解措施。正如我所寫到的,由於漏洞的嚴重性,我們正推出針對我們「免費」客戶的保護。...
- 作者:
2021年12月10日 下午6:36
Log4j2 漏洞 (CVE-2021-44228) 內部
昨天,也就是 2021 年 12 月 9 日,公開了基於 Java 的熱門記錄套件 Log4j 中的一個嚴重漏洞。該漏洞允許攻擊者在遠端伺服器上執行代碼,即所謂的遠端代碼執行 (RCE)。由於 Java 和 Log4j 的廣泛使用,這可能是自 Heartbleed 和 ShellShock 出現以來,網際網路上最嚴重的漏洞之一。...
- 作者:
2021年12月10日 上午11:39
CVE-2021-44228 - Log4j RCE 0 天緩解
2021 年 12 月 9 日,公開了一個會影響常用 Apache Log4j 公用程式的零時差漏洞 (CVE-2021-44228),該漏洞利用可能導致遠端代碼執行 (RCE)。...
- 作者:
2021年3月07日 上午12:47
防範最近披露的 Microsoft Exchange Server 漏洞:CVE-2021-26855、CVE-2021-26857、CVE-2021-26858 和 CVE-2021-27065
Cloudflare 已部署受管理規則,幫助客戶防範最近在 Microsoft Exchange Server 中發現的一系列可遠端利用的漏洞...
- 作者: