写点什么

Cloudflare 现内存数据泄露

  • 2017-02-27
  • 本文字数:1161 字

    阅读完需:约 4 分钟

在 2 月 17 日,谷歌研究员 Tavis Ormandy 在对公开的网页数据进行分析时,发现其中存在机器的内存数据,其内容包括秘钥、cookie 等敏感信息。经过进一步调查,发现该数据来源为 Cloudflare 所提供的内容分发服务。Tavis 马上就将该漏洞通过 twitter 通知了 Cloudflare,同时 Cloudflare 也在第一时间分析了问题并关闭了产生泄露的服务,阻止了该泄露的进一步发展。

Cloudflare 是知名的国际网络安全服务提供商。它为网站提供安全管理、性能优化方面的服务。根据 Cloudflare官方博客解释,此次内存数据泄露的原因是,在引入新的HTML 解析器与旧解析器同时运行时,由于判断文档结束的标志位的差异,暴露了一个旧解析器的漏洞,导致内存数据的泄露。该解析器被用于Cloudflare 提供的混淆页面内邮箱地址 HTTPS 重写以及服务端黑名单的功能。Cloudflare 在接到谷歌的通知后第一时间找出问题并停止了这三个功能,之后组建了跨国团队对漏洞进行不间断的分析及修复,并在发现漏洞的三天后恢复了这三个服务的正常使用。

Cloudflare 表示此次数据泄露最早可能开始于去年的 9 月,那时上线了 HTTPS 重写功能,但是由于该功能并没有被大规模使用,没有造成很大影响。在今年的 2 月 13 日,邮箱地址混淆功能发布,从发布到该问题被谷歌发现的 5 天内是问题的高发期。在这段时间内大约每 3,300,000 个连接存在一次潜在的内存数据泄露。虽然 Cloudflare 已经修复了该漏洞,但是其涉及的页面已经被各搜索引擎、爬虫给抓取并缓存,导致泄露的数据可能仍然能通过这些缓存被访问到,谷歌、雅虎、必应等搜索引擎已经积极进行合作,将涉及的网页缓存进行了清除。

这次的内存数据泄露事件难免让人回想起 14 年 OpenSSL 曝出的心脏出血(Heartbleed)漏洞,但此次的漏洞涉及的范围仅限于 Cloudflare 客户的信息。虽然影响面不如心脏出血,但鉴于 Cloudflare 的客户网站有五百多万之多,其规模也不容小觑。Cloudflare 已发送邮件通知各客户内存数据泄露的发生。经过分析第三方缓存,Cloudflare 发现有大约 150 个客户站点的数据发生泄露且存在风险,他们已经在积极进行处理,希望将损失减少到最小。同时他们也建议客户修改持久化的敏感信息如长 session 的令牌等,但客户的 SSL 私钥并不会在这次的漏洞中被泄露。

此次的泄露风波再次吸引了大家对网络信息安全的关注。敏感数据通过第三方服务,在享受其提供服务的同时,势必也会导致一定的信息安全风险。在这次泄露事件中 1password 就表示由于其数据使用了安全远程密码(SRP)及数据加密存储,所以不会受到此次泄露的波及,该方式值得那些使用了第三方服务且对数据安全较敏感的应用借鉴。


感谢刘志勇对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2017-02-27 18:001405
用户头像

发布了 41 篇内容, 共 13.5 次阅读, 收获喜欢 3 次。

关注

评论

发布
暂无评论
发现更多内容

工作那么久,才知道的 SOLID 设计原则

闻人

架构师 极客大学架构师训练营

【极客大学】【架构师训练营】【第二周】总结:设计原则

NieXY

极客大学架构师训练营

别兜售你自己不会购买的东西

Neco.W

创业 销售管理 销售

SpringBean的生命周期

编号94530

Java spring Spring Boot 生命周期

MySQL InnoDB存储引擎 - 事务

Axe

centos7 操作

InfoQ_1c4a1f813eb1

区块链目前实际的应用场景汇总

CECBC

区块链技术 去中心化 应用场景

第四周 学习总结

冯凯

多个maven项目启动顺序

terrytian

maven

LeetCode 655. Print Binary Tree

liu_liu

算法 LeetCode

十五年后苹果再次变心

池建强

apple 苹果 芯片 wwdc

游戏夜读 | 《老残游记》很有趣

game1night

查找算法系列文(一)一文入门二叉树

淡蓝色

Java 数据结构 算法 二叉树

架构师训练营 - 第三周学习总结

清风徐徐

ARTS Week5

丽子

RabbitMQ跨机房迁移数据零丢失

心平气和

RabbitMQ 消息队列

【极客大学】【架构师训练营】【第二周】依赖倒置原则和接口隔离原则

NieXY

极客大学架构师训练营

线性表(数组、链表、队列、栈)详细总结

淡蓝色

Java 数据结构 算法 链表 线性表

食堂就餐卡系统设计

John

极客大学架构师训练营

每日一题-翻转字符串里的单词

程序员老王

LeetCode

辟谣:程序员不配谈恋爱?你错的可以!真相来了

码农神说

程序员 漫画 相亲

基于业务表 Binlog 的事件驱动设计

理帆

MySQL 事件驱动 Binlog

好奇心, 优秀软件工程师的内核品质

亚伦碎语

读书感悟 随笔杂谈

循序渐进的中台研发

理帆

中台 业务中台

【在云端 002】云时代,何以安放我的个人数据

Bora.Don

云计算 云存储

设计模式之单例模式和组合模式

dapaul

极客大学架构师训练营

设计原则与设计模式

dapaul

极客大学架构师训练营

Redis系列(三):缓存过期该如何剔除?RDB和AOF又是什么?

z小赵

Java redis 高并发 高并发系统设计

就餐卡系统架构设计文档

牛珈羽

极客大学架构师训练营

wee1作业总结

牛珈羽

极客大学架构师训练营

iOS & Android 去马赛克处理

liu_liu

ios android 去马赛克

Cloudflare现内存数据泄露_语言 & 开发_周元昊_InfoQ精选文章