關于CloudFlare服務器存在緩沖區溢出漏洞（Cloudbleed）的安全公告

近日，國(guó)家信息安全漏洞共享平台（CNVD）收錄了CloudFlare服務器存在的緩沖區溢出漏洞（CNVD-2017-02009,又稱Cloudbleed“雲滴血”）。遠程攻擊者可利用漏洞獲取服務器上的緩存信息（如：身份驗證cookie、API密鑰和登錄認證等敏感信息），對(duì)在Cloudflare上運行并提供服務的大量網站構成(chéng)信息洩露和運行安全風險。

一、漏洞情況分析

CloudFlare是美國(guó)一家内容分發(fā)網絡（CDN）和網絡安全提供商，CloudFlare充當用戶和Web服務器之間的代理，通過(guò)CloudFlareedge servers解析内容以優化和安全性，從而降低對(duì)原始主機服務器的請求數量。CloudFlare服務的網站數量全球超過(guò)550萬。

Cloudbleed漏洞的技術成(chéng)因是CloudFlare edge servers使用“==”而非“>=”運算符檢查緩沖區的末尾，并且指針能(néng)夠跳過(guò)緩沖區的末尾，導緻緩沖區溢出并返回包含隐私數據如 HTTP cookies、身份驗證令牌、HTTP POST正文等的，這(zhè)些洩露的數據被(bèi)緩存在搜索引擎及其他服務器緩存中。遠程攻擊者可利用漏洞獲取身份驗證cookie和登錄認證等敏感信息，并發(fā)起(qǐ)進(jìn)一步攻擊。

CNVD對(duì)該漏洞的綜合評級爲“高危”。

二、漏洞影響範圍

Cloudbleed影響很多專業組織和企業包括 Uber，Fitbit，1Password 和OKCupid等影響無數的個人用戶隐私數據的安全。通常情況下，移動應用像浏覽器一樣(yàng)使用HTTPS (SSL/TLS)與相同的後(hòu)端服務進(jìn)行交互，因此Cloudbleed也會影響移動互聯網應用服務供商。

Cloudflare已經(jīng)修複了該漏洞，谷歌、雅虎、必應等搜索引擎廠商已經(jīng)開(kāi)始删除洩露數據的緩存副本，但仍有可能(néng)一些數據存儲在其他網絡搜索引擎（如DuckDuckGo）及其他服務器緩存中。