Cloudflare敏感数据泄露事件 程序员出面解释 但google研究员并不满意

内容交付网络和安全提供商 Cloudflare 已经确认了敏感信息泄露问题，该问题由Google 0Day项目研究员Tavis Ormandy 发现的。Cloudflare 今天称，他们已经在上周五联系到Ormandy，并确认了这个在公司边缘服务器上发生的问题。这让小编想到 黑客组织Pro_Mast3r篡改特朗普竞选筹资网站 网站托管在Cloudflare内容管理平台

Cloudflare发生了敏感数据泄露事件

公司程序员John Graham-Cumming介绍说，奥曼迪发现了 一些 HTTP 请求在通过 Cloudflare运行后，返回了一些有问题的web 页面。还介绍了问题的详细信息，

在某些不寻常的情况下......我们的服务器出现内存缓冲区溢出，然后返回了一些私人信息，比如HTTP cookie、 身份验证令牌、 HTTP POST 和其他敏感数据 "

其中的一些数据被搜索引擎缓存了（小编：这样公众在搜索的时候可能就会看到并获得这些敏感信息了）。

Graham-Cumming说︰客户的 SSL 私钥并没有被泄露，Cloudflare 通过独立Nginx实例发起的SSL 终端连接不受影响。公司迅速关闭了三个功能，电子邮件混淆，server-side excludes和自动 HTTPs rewites 功能，这些功能会使用到 HTML 解析器链，从而导致信息泄露，以便停止从 HTTP 响应中返回的内存数据。

Cloudflare敏感数据泄露事件的原因是由于业务迁移

为了取代了 "变得过于复杂，无法维持" Ragel 分析器，Cloudflare去年发布了名为cf-html的解析器，并将公司业务逐步迁移到新的解析器上。

程序员Graham-Cumming说，"原来造成内存泄漏的基本错误一直存在我们基于 Ragel 的语法分析器中，但多年由于内部 Nginx 缓冲区使用的方式，并没有内存泄露"。但 "由于引入 cf-html 而改变了缓冲使用方式，虽然 cf-html 本身有没有问题，但还是发生了内存泄露事件。

问题的原因是因为缓冲区溢出导致编码错误，这个问题其实已经存在好多年了，只不过 Cloudflare 进行了迁移动作，才让这个问题暴露出来。

"我们内部信息安全团队现在正在进行一个项目，着力寻找的旧版软件等安全问题，"一旦 Cloudlfare发现需要注意的问题，就会成立小组就跨部门，并在全球范围内调查问题的原因，并与搜索引擎运营商沟通，要求删除任何缓存 HTTP 响应内容。

目前这个问题已经在7个小时内解决了，并在全球范围内消除了影响。

"我们已经披露了这个问题，并且搜索引擎已经清理了敏感信息，我们十分感谢发现这个问题的世界顶尖安全研究团队，并感谢他们向我们报告了这个问题。 没有任何证据表明该 bug 曾被利用。

研究员Tavis Ormandy 对Cloudflare的声明并不满意

从 2 月 13-18 日之间，大约有330 万通过 Cloudflare 发送的 HTTP 请求，可能导致内存泄漏，然而，Tavis Ormandy 说 Cloudflare 已经漏了客户 HTTPS 会话信息，包括 Uber、1Password、FitBit以及OKCupid。而且，Cloudflare的通告令人困惑。这个问题已经被利用了几个月，我们有缓存的数据