9 月 13 日,2025 Inclusion・外滩大会「开源嘉年华」正在限量报名中! 了解详情
写点什么

Cloudflare 现内存数据泄露

  • 2017-02-27
  • 本文字数:1161 字

    阅读完需:约 4 分钟

在 2 月 17 日,谷歌研究员 Tavis Ormandy 在对公开的网页数据进行分析时,发现其中存在机器的内存数据,其内容包括秘钥、cookie 等敏感信息。经过进一步调查,发现该数据来源为 Cloudflare 所提供的内容分发服务。Tavis 马上就将该漏洞通过 twitter 通知了 Cloudflare,同时 Cloudflare 也在第一时间分析了问题并关闭了产生泄露的服务,阻止了该泄露的进一步发展。

Cloudflare 是知名的国际网络安全服务提供商。它为网站提供安全管理、性能优化方面的服务。根据 Cloudflare官方博客解释,此次内存数据泄露的原因是,在引入新的HTML 解析器与旧解析器同时运行时,由于判断文档结束的标志位的差异,暴露了一个旧解析器的漏洞,导致内存数据的泄露。该解析器被用于Cloudflare 提供的混淆页面内邮箱地址 HTTPS 重写以及服务端黑名单的功能。Cloudflare 在接到谷歌的通知后第一时间找出问题并停止了这三个功能,之后组建了跨国团队对漏洞进行不间断的分析及修复,并在发现漏洞的三天后恢复了这三个服务的正常使用。

Cloudflare 表示此次数据泄露最早可能开始于去年的 9 月,那时上线了 HTTPS 重写功能,但是由于该功能并没有被大规模使用,没有造成很大影响。在今年的 2 月 13 日,邮箱地址混淆功能发布,从发布到该问题被谷歌发现的 5 天内是问题的高发期。在这段时间内大约每 3,300,000 个连接存在一次潜在的内存数据泄露。虽然 Cloudflare 已经修复了该漏洞,但是其涉及的页面已经被各搜索引擎、爬虫给抓取并缓存,导致泄露的数据可能仍然能通过这些缓存被访问到,谷歌、雅虎、必应等搜索引擎已经积极进行合作,将涉及的网页缓存进行了清除。

这次的内存数据泄露事件难免让人回想起 14 年 OpenSSL 曝出的心脏出血(Heartbleed)漏洞,但此次的漏洞涉及的范围仅限于 Cloudflare 客户的信息。虽然影响面不如心脏出血,但鉴于 Cloudflare 的客户网站有五百多万之多,其规模也不容小觑。Cloudflare 已发送邮件通知各客户内存数据泄露的发生。经过分析第三方缓存,Cloudflare 发现有大约 150 个客户站点的数据发生泄露且存在风险,他们已经在积极进行处理,希望将损失减少到最小。同时他们也建议客户修改持久化的敏感信息如长 session 的令牌等,但客户的 SSL 私钥并不会在这次的漏洞中被泄露。

此次的泄露风波再次吸引了大家对网络信息安全的关注。敏感数据通过第三方服务,在享受其提供服务的同时,势必也会导致一定的信息安全风险。在这次泄露事件中 1password 就表示由于其数据使用了安全远程密码(SRP)及数据加密存储,所以不会受到此次泄露的波及,该方式值得那些使用了第三方服务且对数据安全较敏感的应用借鉴。


感谢刘志勇对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2017-02-27 18:001857
用户头像

发布了 41 篇内容, 共 15.7 次阅读, 收获喜欢 3 次。

关注

评论

发布
暂无评论
发现更多内容

基于ELK的日志平台介绍

Rayzh

ELK 日志系统

一文带你读懂!华为云在ACMUG技术沙龙上都透露了些啥?

华为云开发者联盟

数据库 大数据 数据

SpringCloud Alibaba微服务实战一基础环境准备

AI乔治

Java 架构 微服务 Spring Cloud

第11代酷睿处理器出色体验的奥秘原来是这个!

E科讯

探秘RocketMQ源码【1】——Producer视角看事务消息

阿里云金融线TAM SRE专家服务团队

开源 RocketMQ 中间件 消息中间件

大整数算法

落曦

2020年10月公有云性能评测:盛大云-华东蝉联冠军,腾讯云-北京无缘前三

博睿数据

云计算 腾讯云 ucloud 公有云 评测

阿里P8熬夜完成这两份800页Java面试核心知识原理+框架

Java~~~

Java 程序员 面试 编程语言 架构师

从资源管理角度认识K8S

LorraineLiu

Kubernetes 云原生 k8s k8s入门

架构师训练营第 1 期 -week9

习习

区块链的常识之,什么是区块链股份授权证明机制DPoS?

CECBC

区块链 共识机制

想了解物联网应用的自动部署,看这篇就够了

华为云开发者联盟

服务器 华为云 部署

对于CRM之于现代化企业的影响以及作用的分析

Learun

敏捷开发 CRM 客户关系管理

DocView 现在支持自定义 Markdown 模版了!

程序员小航

markdown IDEA idea插件 文档生成

区块链司法可信存证,版权维护应用落地

t13823115967

区块链司法可信存证 版权维护应用落地

OpenKruise:阿里巴巴 双11 全链路应用的云原生部署基座

阿里巴巴云原生

Kubernetes 运维 云原生 中间件 存储

今年最火的 Golang 云原生开源项目,可能就是它了!

阿里巴巴云原生

开源 Kubernetes 云原生 Go 语言

新思科技:ISO/SAE 21434标准即将发布 你准备好了吗?

InfoQ_434670063458

新思科技 汽车软件安全

linux开发各种I/O操作简析,以及select、poll、epoll机制的对比

良知犹存

linux开发

面试官都爱问的ThreadLocal

执墨

ThreadLocal 哈希表 弱引用

利用区块链数字化人民币,中国有望从追随者变为新秩序的领导者

CECBC

区块链 数字人民币

字节跳动的这份《算法中文手册》火了,完整版PDF开放下载!不少小伙伴靠这份指南成功掌握了算法的核心技能,成功拿到了 BATJ等大厂offer。

Java架构之路

Java 程序员 架构 面试 编程语言

朋友不讲武德急催我给他Java干货教程,我劝他耗子尾汁并丢给他一份GitHub上标星115k+的Java教程,他看了之后连忙向我道歉!

Java架构之路

Java 程序员 架构 面试 编程语言

年轻人你不讲武德,自己偷着学习!spring Security五套「源码级」笔记哪里来的?我也要!

Java架构追梦

Java 源码 架构 面试 spring security

聊聊在国企当程序员的这三年,这样的生活真的是你想要的吗?

Java架构师迁哥

软件测试流程

测试人生路

软件测试

SpringCloud Alibaba微服务实战二 - 服务注册

AI乔治

Java 架构 微服务 Spring Cloud

重点人员管控系统开发,情报研判系统搭建

t13823115967

重点人员管控系统开发 情报研判系统搭建

anyRTC uni-app 跨平台SDK 发布!总有一款适合你!

anyRTC开发者

uni-app 音视频 WebRTC RTC

区块链能修复企业云计算吗?

CECBC

区块链 云计算

数据库:我没有带闪,不讲武德

比伯

Java 编程 程序员 面试 计算机

Cloudflare现内存数据泄露_语言 & 开发_周元昊_InfoQ精选文章