谷歌的Project Zero發(fā)現(xiàn)一個嚴重Cloudflare漏洞，該漏洞可能已經(jīng)導致Cloudflare內容交付網(wǎng)絡托管的數(shù)百萬網(wǎng)站的客戶數(shù)據(jù)泄露。

此次數(shù)據(jù)泄露是較舊的HTML解析器和Cloudflare去年9月開始使用的解析器之間錯誤交互所導致的內存泄漏的結果。Cloudflare公司在其事件報告中表示只有330萬之一的HTTPS請求泄露敏感客戶信息，包括個人身份信息（PII）密碼、cookies和令牌等。

然而，自去年9月以來，該Cloudflare漏洞就可允許任何在Cloudflare CDN客戶網(wǎng)站運行網(wǎng)絡抓取程序的人訪問敏感信息。這就是說，在2016年9月22日到2017年2月之間傳輸?shù)腃loudflare客戶數(shù)據(jù)可能已經(jīng)暴露給第三方。目前尚不清楚有多少Cloudflare客戶以及托管網(wǎng)站數(shù)據(jù)泄露，因為該公司仍然在調查該事件以及通知客戶。

這個Cloudflare漏洞是由谷歌Project Zero研究人員Tavis Ormandy發(fā)現(xiàn)，Ormandy在問題跟蹤記錄中寫道：“這種情況很不尋常。在正常使用期間，抓取工具和用戶可下載個人身份信息；只是他們不知道自己看到的是什么。”

Ormandy發(fā)現(xiàn)了“來自主要約會網(wǎng)站的私人信息、知名聊天服務的完整信息、在線密碼管理器數(shù)據(jù)、成人視頻網(wǎng)站數(shù)據(jù)以及酒店預訂數(shù)據(jù)等。我們談論的是完整的https請求、客戶端IP地址、完整的響應、cookie、密碼、密鑰、數(shù)據(jù)等。”

Cloudflare隨即作出響應，他們發(fā)現(xiàn)三個CDN功能在使用可疑的HTML解析器，并將它們關閉。“這個漏洞非常嚴重，因為泄露的內存可能包含私人信息，并且它已被搜索引擎緩存，”Cloudflare公司編程人員John Graham-Cumming在事件報告中指出，“我們還沒有發(fā)現(xiàn)任何表明該漏洞被惡意利用的證據(jù)。”

Graham-Cumming寫道“有些”客戶數(shù)據(jù)被搜索引擎緩存，而Cloudflare正在與谷歌及其他搜索引擎公司合作來刪除這些緩存數(shù)據(jù)。

Project Zero團隊共享了與Uber、OkCupid以及Fitbit的用戶PII相關的屏幕截圖（編譯版）；Cloudflare的內容交付網(wǎng)絡擁有超過500萬網(wǎng)站，任何使用Cloudflare托管網(wǎng)站的用戶都可能受影響。

Ormandy等人稱贊Cloudflare的快速反應。Ormandy寫道：“在我解釋了情況后，Cloudflare快速重現(xiàn)了這個問題，并告訴我他們在一小時內實施了初步緩解。”

Graham-cumming稱這個Cloudflare漏洞“最大影響時間”是從2月13日到2月18日，這正是2017年RSA大會發(fā)生的時間--安全行業(yè)最繁忙的時期之一。

Cloudflare稱其正在推出改進程序來解析HTML數(shù)據(jù)，而這不經(jīng)意導致與其較舊解析器的沖突；其結果是，該軟件從未初始化的內存提取數(shù)據(jù)，并提供給瀏覽器、機器人和網(wǎng)絡抓取工具。

“這是包含潛在安全問題的古老軟件，這個問題發(fā)生在我們的遷移過程中，”Graham-Cumming寫道，“我們內部信息安全團隊正在采取措施以從較舊軟件中尋找潛在其他安全問題。”