用戶包括Fitbit、Uber、1Password及OkCupid的知名網頁防火牆及代理伺服器業者CloudFlare上周證實網站出現記憶體洩露漏洞,用戶密碼及個資曝光長達5個月。安全公司呼籲用戶修改所有網站密碼。
CloudFlare技術長John Graham-Cumming指出漏洞出現在CloudFlare三項「小」功能,包括電子郵件程式碼混淆(obfuscation)、Server-side Excludes及Automatic HTTPS Rewrites之中讀取網頁的HTMLParser程式碼中。Parser程式碼中原本該是”==”的地方,卻被打成了”>=”,導致緩衝溢位(buffer overflow),使大量CloudFlare的伺服器記憶體內容外洩而可被前端HTTP呼叫。
Google旗下的Project Zero安全研究員Tarvis Ormandy於去年9月22日揭露這項漏洞,直到2月28日CloudFlare修補,中間已經過5個月。由於其性質與2014春天爆發的OpenSSL函式庫漏洞Heartbleed頗為類似,故Ormandy已CloudFleed稱之。當時他發現大量知名網站用戶資料外洩,受害者從約會網站、知名通訊服務、密碼管理網站、成人影片網站、訂房網站等,外洩內容從完整HTTPS呼叫、用戶端IP位址、通訊內容、cookies、個人機密資訊、密碼、API Key、加密金鑰等等,只要隨意上CloudFlare查詢,全部都能輕易找到。
由於CloudFlare是業界數一數二的網頁防火牆及代理伺服器(reverse proxy systems)業者,因此任何該公司代理伺服器,包括HTTP及HTTPS代理伺服器服務的所有網站客戶,都是此次漏洞的潛在受害者。
CloudFlare說明,由於該公司是於隔離的NGINX環境下處理SSL連線,因此客戶的SSL加密金鑰並未外洩,同時也關閉了三項出問題的功能,防堵記憶體外洩情形。不過安全專家認為災難並未結束;Github網站有用戶列出可能受影響的網域高達4,287,625個。另外有統計,從2月13到18日之間,每天有20到30萬張網頁從CloudFlare伺服器上外洩,且有770個URL已被Google、Yahoo、Bing等搜尋引擎快取下來而可能被搜尋到。
安全公司NowSecure則分析出,部份外洩資料Fitbit Android版、Uber及免費VoIP及傳訊服務Discord,另外,使用CloudFlare的200個iOS app,像是Yelp、Dropbox、CNN等則可能有外洩風險。
安全專家呼籲用戶應關閉所有網站的主動連線(active sessions)設定,而且最好應立即修改所有網站服務密碼,因為除了受影響的網站外,有些網站之中有些又可對未在外洩名單上的網站進行API呼叫,使後者遭到波及。