Cloudflare是互联网上规模较大的内容交付网络和DNS提供商之一，它的一项服务存在严峻缺陷，导致全球各地的服务器泄露和缓存敏感的客户数据，DDoS防御，如Cookie、身份验证令牌和加密密钥。该漏洞存在于Cloudflare工程师几年前编写的HTML解析器中，但最近被一具更新的解析器取代。该公司正在将各种服务从使用Ragel编写的旧解析器迁移到新的解析器中，在此过程中所做的更改导致bug激活并开始泄漏包含私有信息的内存。那个bug活跃了好几天，Cloudflare讲最关键的阶段是2月13日到2月18日。"事实证明，导致内存泄漏的底层bug在我们基于Ragel的解析器中基本存在了特别多年，然而由于内部NGINX缓冲区的使用方式，没有内存泄漏。Cloudflare的John Graham Cumming在对该漏洞的响应举行事后分析时讲，引入cf html微妙地改变了导致泄漏的缓冲区，虽然cfhtml本身没有咨询题。Cloudflare拥有庞大而多样化的客户群，包括Uber、Yelp、OkCupid、Medium和1Password等公司。有一具正在维护的所有已知客户的运行列表，其中包括一些已知未受该漏洞阻碍的客户。1Password是那些声称他们的数据不受阻碍的人之一。该漏洞对Cloudflare的客户以及公司本身都有广泛的潜在阻碍。由于公司基础设施的设置方式，对受该漏洞阻碍的一具Cloudflare站点的请求最后来大概会泄露来自另一具站点的私有信息。此外，DDoS防御，搜索引擎通常会缓存web内容以更快地提供服务，而从Cloudflare网站泄露的一些私人数据也被谷歌和其他引擎缓存。"我们采集了一些实时样本，观看到了加密密钥、cookie、密码、POST数据块。"infosec团队致力于识别搜索引擎缓存中泄漏内存的uri，并清除它们。在Google、Yahoo、Bing等公司的关心下，我们发觉了770个惟一的uri，这些uri被缓存了，其中包含了泄漏的内存。这770个独特的uri覆盖了161个独特的域。泄露的经历基本在搜索引擎的关心下被清除了。"我们还举行了其他搜索探险，在巴斯特宾等网站上寻觅大概泄露的信息，但没有找到任何东西。"该漏洞泄漏的一些敏感数据属于Cloudflare本身，而不是其客户。尽管没有客户的加密密钥被泄露，但一具用于加密自个儿机器之间连接的SSL密钥Cloudflare做到了，DDoS防御，其他一些内部身份验证机密也是这样。上周，谷歌零项目（ProjectZero）的一名研究人员在举行无关研究时发觉了内存泄漏，在确认了他的发觉后，即将联系了CloudFlare的安全团队。"看起来，假如cloudflare后面托管的html页面有一具不平衡标记的特定组合，这么代理将把未初始化内存的页面分散到输出中。我的工作原理是，这与他们的"scrapshield"功能有关，该功能能够解析和混淆html，但由于反向代理是在客户之间共享的，它会阻碍所有的Cloudflare客户，"谷歌的研究员Tavis Ormandy在他对该漏洞的初步分析中讲。"我们猎取了一些实时示例，并观看到来自其他用户的加密密钥、cookie、密码、POST数据块，DDoS高防，甚至还有其他要紧cloudflare托管站点的HTTPS请求。"Cloudflare在Ormandy最初报告的几个小时内就对内存泄漏举行了部分修复，并在本周早些时候彻底修复了它。资料图：Maarten Van Damme，执照抄送人。

当前位置：主页 > 网站防护 > 服务器防cc_无限防_中新金盾抗ddos