写点什么

Cloudflare 现内存数据泄露

  • 2017-02-27
  • 本文字数:1161 字

    阅读完需:约 4 分钟

在 2 月 17 日,谷歌研究员 Tavis Ormandy 在对公开的网页数据进行分析时,发现其中存在机器的内存数据,其内容包括秘钥、cookie 等敏感信息。经过进一步调查,发现该数据来源为 Cloudflare 所提供的内容分发服务。Tavis 马上就将该漏洞通过 twitter 通知了 Cloudflare,同时 Cloudflare 也在第一时间分析了问题并关闭了产生泄露的服务,阻止了该泄露的进一步发展。

Cloudflare 是知名的国际网络安全服务提供商。它为网站提供安全管理、性能优化方面的服务。根据 Cloudflare官方博客解释,此次内存数据泄露的原因是,在引入新的HTML 解析器与旧解析器同时运行时,由于判断文档结束的标志位的差异,暴露了一个旧解析器的漏洞,导致内存数据的泄露。该解析器被用于Cloudflare 提供的混淆页面内邮箱地址 HTTPS 重写以及服务端黑名单的功能。Cloudflare 在接到谷歌的通知后第一时间找出问题并停止了这三个功能,之后组建了跨国团队对漏洞进行不间断的分析及修复,并在发现漏洞的三天后恢复了这三个服务的正常使用。

Cloudflare 表示此次数据泄露最早可能开始于去年的 9 月,那时上线了 HTTPS 重写功能,但是由于该功能并没有被大规模使用,没有造成很大影响。在今年的 2 月 13 日,邮箱地址混淆功能发布,从发布到该问题被谷歌发现的 5 天内是问题的高发期。在这段时间内大约每 3,300,000 个连接存在一次潜在的内存数据泄露。虽然 Cloudflare 已经修复了该漏洞,但是其涉及的页面已经被各搜索引擎、爬虫给抓取并缓存,导致泄露的数据可能仍然能通过这些缓存被访问到,谷歌、雅虎、必应等搜索引擎已经积极进行合作,将涉及的网页缓存进行了清除。

这次的内存数据泄露事件难免让人回想起 14 年 OpenSSL 曝出的心脏出血(Heartbleed)漏洞,但此次的漏洞涉及的范围仅限于 Cloudflare 客户的信息。虽然影响面不如心脏出血,但鉴于 Cloudflare 的客户网站有五百多万之多,其规模也不容小觑。Cloudflare 已发送邮件通知各客户内存数据泄露的发生。经过分析第三方缓存,Cloudflare 发现有大约 150 个客户站点的数据发生泄露且存在风险,他们已经在积极进行处理,希望将损失减少到最小。同时他们也建议客户修改持久化的敏感信息如长 session 的令牌等,但客户的 SSL 私钥并不会在这次的漏洞中被泄露。

此次的泄露风波再次吸引了大家对网络信息安全的关注。敏感数据通过第三方服务,在享受其提供服务的同时,势必也会导致一定的信息安全风险。在这次泄露事件中 1password 就表示由于其数据使用了安全远程密码(SRP)及数据加密存储,所以不会受到此次泄露的波及,该方式值得那些使用了第三方服务且对数据安全较敏感的应用借鉴。


感谢刘志勇对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2017-02-27 18:001619
用户头像

发布了 41 篇内容, 共 14.7 次阅读, 收获喜欢 3 次。

关注

评论

发布
暂无评论
发现更多内容

亿级用户实时互动,GaussDB(for Redis)带您沉浸式体验迷你世界

轶天下事

行业DBA走进华为,共建数据库生态

平平无奇爱好科技

技术驱动,数据赋能,华为云GaussDB给世界一个更优选择

平平无奇爱好科技

强渡大渡河!华为云GaussDB成功支撑华为MetaERP系统全面替换

平平无奇爱好科技

产教融合,华为云GaussDB助推高校国产数据库课程建设

轶天下事

招行&华为云,科技进步一等奖!

轶天下事

精彩纷呈!LLUG 2023 北京场活动回顾来啦 | 视频回放已上线

OpenAnolis小助手

开源 龙蜥社区 LLUG Linux中国 沙龙回顾

新应用爆发,开启5G的鱼龙之变

脑极体

5G

华为云GaussDB践行数字化,护航证券保险高质量发展

平平无奇爱好科技

【深入浅出Docker原理及实战】「Docker安装说明」零基础+全方位带你学习探索Docker容器开发实战指南(Ubuntu、Debian)

码界西柚

Docker 容器 容器化部署

智能工厂中人工智能应用场景及技术分析

工赋开发者社区

智能工厂 | 上海三菱电梯有限公司电梯智能工厂

工赋开发者社区

营销研发三年烧11.25亿负债200%,聚水潭的亏损反而是SaaS的“正面”鼓励

B Impact

无惧百万级并发,GaussDB(for Cassandra)让华为Push推送服务更快触达

轶天下事

车载手势识别技术的挑战和未来发展

数据堂

莲子数据与阿里云开源PolarDB合作助力制造业数字化转型

阿里云数据库开源

polarDB PolarDB-X PolarDB-PG

车载手势识别技术的原理及其应用

数据堂

华为云GaussDB以技术创新引领金融行业分布式转型

平平无奇爱好科技

PostgreSQL插件那么多,怎样管理最高效?

平平无奇爱好科技

再获殊荣!华为云GaussDB喜提“科技进步一等奖”

平平无奇爱好科技

C++的重载运算符和重载函数

芯动大师

强化学习从基础到进阶--案例与实践[7]:深度确定性策略梯度DDPG算法、双延迟深度确定性策略梯度TD3算法详解

汀丶人工智能

人工智能 深度学习 强化学习 6 月 优质更文活动 DDPG算法

华为云GaussDB构建智能数据底座,助推中国数字经济发展

轶天下事

为什么MySQL单表不能超过2000万行?

轶天下事

这年头怕数据泄露?全密态数据库:无所谓,我会出手

平平无奇爱好科技

重磅新品全球公测!华为云数据库又有大动作

平平无奇爱好科技

强化学习从基础到进阶-常见问题和面试必知必答[7]:深度确定性策略梯度DDPG算法、双延迟深度确定性策略梯度TD3算法详解

汀丶人工智能

人工智能 深度学习 强化学习 6 月 优质更文活动 DDPG算法

企业如何数字化转型?企业数字化转型面临哪些挑战?

优秀

企业数字化转型

华为云GaussDB入选“2022年数字技术融合创新应用解决方案”

平平无奇爱好科技

黄瑾:做强坚实数据库底座,GaussDB与产业携手共进

平平无奇爱好科技

NineData入驻华为云“联营联运”商品,为企业数据提供安全保障

平平无奇爱好科技

Cloudflare现内存数据泄露_语言 & 开发_周元昊_InfoQ精选文章