全球最大型網路服務公司的程式碼出現嚴重缺陷,導致敏感資料會被外洩到網路上。在部落格的事後檢討文章中,CloudFlare詳細說明了其邊際伺服器如何受到緩衝區溢出的影響,導致對使用CloudFlare服務的網站所發出的請求會返回隨機資料位元,這可能包含了私密資訊如API金鑰、使用者憑證、cookies甚至是私人訊息。外洩資料也被搜尋引擎所暫存,增加了被用在惡意用途的可能性。這個漏洞已經被非正式地稱為「CloudBleed」,因為它跟早期的HeartBleed漏洞有相似之處。
「CloudBleed」一開始是由Google研究人員Travis Omandy所發現,他在觀察到對使用CloudFlare服務的網站所發出HTTP請求的異常行為時回報了此一問題。經過分析,CloudFlare將問題追查至其新的cf-html HTML解析程式。具體地說,這個問題跟存在其舊Ragel解析程式內多年的程式碼錯誤有關,不過問題會浮現是因為切換到新解析程式改變了緩衝機制,導致資料外洩的發生。
CloudFlare的即時回應是停用使用有資料外洩問題HTML解析程式的相關功能。此外,也組成了一個團隊來找出和修復解析程式內的錯誤,他們會設法在短時間內完成任務,在資料被更廣泛擴散前將潛在的傷害最小化。
網路使用者應該擔心嗎?
考量到使用CloudFlare服務的網站數量和資料可能遭到外洩的有效時間長度(最早可能從2016年9月),這似乎是件應該擔心的事情,特別是對經常使用CloudFlare相關網站的使用者來說。不過該公司也說明了資料外洩所造成的影響並沒有那麼大。據估計,在2月13日至18日期間所造成的資料外洩影響最大,透過CloudFlare所進行的3,300,300個HTTP請求中有約1個(0.00003%)可能會導致記憶體資料外洩。
這一點再加上CloudFlare對此事件的快速回應,顯示出資料外洩的影響應該很小。不過這起事件還是提醒了所有網路使用者必須要做好準備來保護自己最重要的數位資產 – 特別是包含敏感資料的部分。
因為主要問題並非使用者所能夠控制,所以使用者能做的最佳行動是變更使用CloudFlare基礎設施網站上的密碼。除了變更密碼,這或許也是個好時機讓使用者去採用更有效的驗證方法,如雙因子身份認證。