上週五,2 月 18 日,下午晚些時候發送的一條小推文引起了 CloudFlare 的恐慌,CloudFlare 是一家為數千個網站提供 Web 路由服務的服務提供商。“CloudFlare 安全團隊的人可以緊急聯絡我嗎””,Google零號計畫的安全研究員塔維斯·奧曼迪(Tavis Ormandy)寫道。來自這樣一位公認的專家的消息立即讓 CloudFlare 工程師保持高度警惕。
https://twitter.com/taviso/status/832744397800214528
不得不說,情況相當嚴峻。研究人員發現 CloudFlare 基礎設施內存在一般資料外洩問題。當您瀏覽該服務提供者的客戶的網站時,您可能會在回應中收到一大堆與原始請求無關的敏感資料:HTTP 程式碼片段、cookie、密碼、身分驗證令牌、識別資料等由於搜尋引擎查詢也會出現此錯誤,因此這些敏感資料最終也會出現在搜尋引擎(例如 Google、Bing 或 Yahoo)的快取中。對於服務提供者來說,這是非常惱人的擴散,而服務提供者恰恰應該保護其客戶的網路。
在Google零號計劃,Tavis Ormandy 發布了一些螢幕截圖,以顯示我們在這些查詢中可以找到的所有內容。以下是 OK Cupid 交友網站使用者的敏感資料。
緩衝區溢位
幸運的是,很快就找到了錯誤的根源。這是 CloudFlare「解析器」中的一個小程式錯誤,也就是說,該程式能夠動態分析和修改透過 HTTP 請求傳遞的 HTML 程式碼(例如,插入 Google Analytics 標籤、重寫 HTML 連結或調整程式碼為行動AMP格式)。因此,不良的指標管理可能會導致緩衝區溢出,從而導致將資料任意插入查詢中。由於 CloudFlare 的基礎架構是共享的,因此資料可能來自該服務提供者管理的另一個網站上進行的任何交易。保證混音效果。
好消息是,這次資料外洩不是系統性的,也不涉及 TLS/SSL 私鑰。根據 CloudFlare 的說法,只有一小部分請求 (0.00003%) 受到影響。此外,工程師們沒有註意到任何惡意利用此缺陷的情況,該缺陷已得到糾正。呼,我們得救了。
來源:雲耀光