谷歌Drive云存儲(chǔ)系統(tǒng)剛剛大幅下調(diào)價(jià)格，現(xiàn)在谷歌證實(shí)，其公有云方案中存在漏洞，有可能導(dǎo)致用戶的虛擬磁盤被意外刪除——這一錯(cuò)誤如此嚴(yán)重。某位安全研究人員認(rèn)為這是“災(zāi)難性的”漏洞。谷歌云存儲(chǔ)降價(jià)本想為其即將于本月二十五號(hào)推出的一系列全新云服務(wù)方案造勢(shì)，沒(méi)想到出了這樣的問(wèn)題。

這位網(wǎng)絡(luò)之王今天正式承認(rèn)，其使用的某條服務(wù)器遷移命令有可能“錯(cuò)誤并永久性”刪除接入虛擬實(shí)例的永久磁盤；這一結(jié)論由谷歌計(jì)算工程團(tuán)隊(duì)于本周五向該服務(wù)用戶通過(guò)郵件發(fā)出。巧合的是，谷歌于本周二才剛剛對(duì)其永久磁盤功能進(jìn)行了更新。

在這份郵件中，我們看到以下說(shuō)明：

我們發(fā)現(xiàn)gcutil moveinstances命令當(dāng)中存在一個(gè)嚴(yán)重問(wèn)題：面向永久磁盤的全新自動(dòng)刪除功能發(fā)布之后，由此引發(fā)的非既定相互作用可能導(dǎo)致被遷移實(shí)例的磁盤遭到意外刪除。

也就是說(shuō)，如果某位云用戶在自己的谷歌服務(wù)器存儲(chǔ)體系中開啟了永久磁盤的自動(dòng)刪除功能，那么其在通過(guò)命令行管理工具gcutil對(duì)虛擬服務(wù)器進(jìn)行遷移時(shí)、系統(tǒng)有可能會(huì)在整個(gè)傳輸過(guò)程徹底結(jié)束之前意外刪除與之對(duì)接的虛擬磁盤。

“剛剛推出的新功能允許大家在刪除虛擬實(shí)例的同時(shí)自動(dòng)刪除永久磁盤，而該永久磁盤的刪除操作會(huì)在gcutil為其保留磁盤快照之前先行開始，”谷歌方面解釋道，“這將導(dǎo)致gcutil moveinstances命令出現(xiàn)錯(cuò)誤并永久刪除實(shí)例當(dāng)中已經(jīng)啟用自動(dòng)刪除功能的磁盤——且不會(huì)提前創(chuàng)建永久磁盤快照。”

這項(xiàng)漏洞也許再次驗(yàn)證了部分偏執(zhí)管理員對(duì)于公有云可靠性的擔(dān)憂——畢竟如果一家像谷歌這樣經(jīng)驗(yàn)老道的運(yùn)營(yíng)商都會(huì)犯下這樣的錯(cuò)誤，那么我們還能相信誰(shuí)？

“這是公有云平臺(tái)上出現(xiàn)過(guò)的最為嚴(yán)重、堪稱災(zāi)難性的一次事故，”獨(dú)立安全研究人員Kenn White在接受采訪時(shí)指出。

White還在一篇推文中概括闡述了此次問(wèn)題的嚴(yán)重性，他指出：“也就是說(shuō)，我等于是利用API調(diào)用來(lái)將虛擬機(jī)的w/‘persistent’分卷（具體命令取決于我的命令行客戶端版本）以及虛擬機(jī)本身意外銷毀了？”

這一漏洞涉及gcutil 1.14.2的全部前續(xù)版本，根據(jù)谷歌方面的說(shuō)法、用戶應(yīng)該立即更新至最新版本以避免該問(wèn)題：

昨天，我們?cè)诿钚泄ぞ弋?dāng)中發(fā)現(xiàn)一項(xiàng)漏洞并很快對(duì)其進(jìn)行了修復(fù)。盡管還沒(méi)有收到受影響用戶對(duì)這一問(wèn)題發(fā)來(lái)的反饋，但我們?nèi)匀涣⒖谭e極發(fā)出消息、提醒用戶這一潛在問(wèn)題的存在并提醒他們更新當(dāng)前命令行工具。

云存儲(chǔ)的安全性一直是用戶是否會(huì)選擇使用云存儲(chǔ)考慮的最多的問(wèn)題，所以云存儲(chǔ)服務(wù)提供商也要注意保障用戶安全，在安全方面多做功課。