一篇文章带你看懂 Cloudflare 信息泄露事件

1.问题描述

近期根据 Hacker News 的报道,以及国际 CDN 厂商 cloudflare 的公告,我们注意到了一起敏感信息、API 密钥被 Cloudflare 泄露给了随机的 requesters 请求,同时相关敏感数据也被搜索引擎给收录的问题。

这一问题持续了 2016-09-22至 2017-02-18近半年时间,最为严重的阶段是2-13至2-18 每 3,300,000 HTTP 请求就有可能泄露一份内存数据(近总请求量的0.00003%),预计是100k-200k 页面涉嫌数据泄露。包括 uber 在内的一系列知名互联网企业可能受到影响。

以下是可能受到这一问题影响的网站清单:https://github.com/pirate/sites-using-cloudflare/blob/master/README.md

2.信息泄露问题原因

Cloudflare CDN 服务 会对 HTML 标签进行重新解析,比如将 Google Analytics 的标签插入到 HTML 中, 安全地重写 http:// 链接成为 https:// , 模糊 email 邮箱地址等等。但是由于 NGINX 模块中的 HTML 解析功能存在指针问题,导致在用户之间共享的反向代理存在信息泄露问题,最早是由 Google’s Project Zero 的研究员 Tavis Ormandy 发现。

之前 Cloudflare 的 HTML 解析一直使用标准的 Ragel 有限状态机编译器( www.colm.net/open-source/ragel/) ,但是前段时间Cloudflare为了提升代码效率对解析器进行了升级,将其升级为 cf-html 并测试了其对 HTML5 的解析是没有问题的。但是问题出在了开发团队错误的使用了 Ragel 的编码规范,Ragel 的代码会被自动编译为 C 语言的代码,而 C 语言允许更加灵活的使用指针。

/* generated code */ if ( ++p == pe ) goto testeof;

以上Ragel自动生成的代码会导致指针越界,也就是常见的内存泄露问题。但是之前Ragel实现的HTML 解析模块单独使用并不会触发信息泄露问题,而是仅当基于 Ragel 解析器与 Cloudflare 升级后的 cf-html 解析器一起工作的时候才会触发这一问题。

3.解决方案

3.1迁移至腾讯云CDN

腾讯云CDN提供基于角色的CDN权限控制,并且支持以API接口方式调用。同时新用户开通CDN即连续6个月,每月赠送50G流量包。

* 财务管理员
* 超级管理员
* 云资源管理员

超级管理员拥有创建者的所有权限,可以进行其他子用户的分配;而云资源管理员拥有对所有云资源的管理权限,但不可以创建其他子用户。部分功能仅能够供预设管理员使用,具体如下:

* 使用云API DescribeCdnHosts 获取账户下所有域名详细信息;
* 使用云API UpdateCdnProject 或在 CDN控制台 进行域名所属项目的切换;

项目管理员除了预设管理员外,还可以按照项目维度划分权限,即项目管理员。项目管理员可以管理指定项目中所有的云资源。

项目管理员可以通过自定义策略 中服务类型为项目管理的策略进行指派,该策略拥有两个功能:

* 管理 CDN 业务项目内云资源
* 管理其他业务项目内云资源

3.2考虑在你的应用中实现 Keyless (无密钥加载)架构

对证书稍微熟悉的朋友都知道,SSL 密钥和证书都是成对使用的,一个证书一定唯一对应一个私钥。整个 HTTPS 最重要的一个数据就是 SSL 的私钥了,如果私钥泄露,整个握手过程就可以被劫持,签名可以被伪造,对称密钥也可以被破解。整个 HTTPS 就毫无安全可言。

传统的私钥使用方案和风险传统的私钥方案就是将私钥和应用程序绑定在一起。比如大家熟知的 nginx, apache,如果想使用 HTTPS,必须在部署 nginx 的接入机器上部署相关的证书和私钥。

这种方案会有如下安全上的问题:私钥部署在云端或者 CDN,如果泄露了怎么办?

无秘钥方式虽然腾讯云的内网非常安全,但是出于对客户的安全负责,彻底打消用户对私钥泄露的顾 虑,确保用户对私钥的绝对控制,腾讯云提供一种无私钥的加载方案。这个方案核心是「不需要把私钥存储在腾讯云,允许用户使用自己的服务器保管私钥,完成 HTTPS 的接入」。 腾讯云完全接触不到私钥,客户甚至可以把私钥保存在自己家里的服务器上。

它的接入过程如下:

1. 用户发起 HTTPS 握手请求。
2. 在涉及到私钥计算的时候,腾讯云 CLB 会将这个私钥计算请求通过加密的自定义协议,转发给用户自己的 keyless 服务器上。
3. keyless 服务调用用户的私钥完成计算。
4. keyless 服务将计算结果返回给腾讯云 CLB。
5. CLB 继续进行 HTTPS 请求的处理。

整个过程,腾讯云接触不到 HTTPS 私钥,需要注意一点的,keyless server 是腾讯云提供一个服务端程序,代码开源,用户自主部署,服务端行为用户掌握得一清二楚。

总结来说Keyless(无密钥加载)架构可以更好的实现用户的私钥安全性,但是会对于开发者而言增加一次网络交互,一般来说100-200ms的网络延时,除非是对于安全性有非常高要求的应用,才会考虑这一方式,是用腾讯云的这一架构需要和我们的技术人员单独沟通以明确需求。

4.参考资料list

https://www.qcloud.com/document/product/228/6689

https://www.qcloud.com/community/article/207618001486449512

《List of Sites possibly affected by Cloudflare's》

《report of bugs》

《Incident report on memory leak caused by Cloudflare parser bug》

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏从零开始的linux

web

Web网络服务也叫 WWW(World Wide Web),一般是指能够让用户通过浏览器访问到互联网中文档等资源的服务。目前提供WEB网络服务的程序Ap...

3076
来自专栏程序员互动联盟

【专业技术】Android如何实现推送?

存在问题: 现在各种实时推送消息不时的在我们手机通知里闪烁,而windowphone搞了那么久在加上,实时消息要求的是实时性。在我们开发中如何掌握这种实时模式呢...

4445
来自专栏FreeBuf

深入解析Cookie技术

0×00 引言 在Web技术的发展史上,Cookie技术的出现是一次重大的 变革。但是, Cookie技术又是一项非常有争议的技术,从它诞生之日起就成了广大网络...

18910
来自专栏FreeBuf

浅谈简易端口扫描威胁感知系统的设计与实现

一 前言: 正所谓善守者不知其所攻,善攻者不知其所守。网络攻防本来就是一场看不见硝烟的对抗。 本人设计的这套端口蜜罐检测程序,是在总结了大量的APT攻击方法和思...

3857
来自专栏乐沙弥的世界

Oracle 自动故障诊断

Oracle故障诊断有助于预防,检测,诊断和解决问题。特别针对的问题是诸如由代码错误,元数据损坏和客户数据损坏引起的重大错误。

832
来自专栏有趣的Python

1- vue django restful framework 打造生鲜超市Vue+Django REST framework实战

Vue+Django REST framework实战 使用Python3.6与Django2.0.2(Django-rest-framework)以及前端v...

4457
来自专栏数据库

数据库安全如何保障?这五点是关键!

数据泄漏的成本是昂贵的,这之中包含着业务的中断、客户信任的丧失、损失的法律成本、监管罚款和勒索软件攻击。 数据泄漏或导致巨大的影响。最好的防御是好的进攻,所以让...

17810
来自专栏蓝鸟资源分享网

什么是服务器,服务器与普通电脑有什么区别?

许多人错误地认为服务器与典型的台式计算机没有区别。尽管计算机具有与服务器相似的处理器速度,内存和存储容量,只要满足任何最低硬件要求的计算机都可以运行服务器操作系...

1143
来自专栏FreeBuf

互联网公司WAF系统设计

0×01 WAF简介 WAF 全称是Web Application Firewall, 简单讲就是web防火墙, 是对web业务进行防护的一种安全防护手段。 ...

26210
来自专栏张善友的专栏

基于Wolfpack开发业务监控系统

一般情况下,由于服务器环境或者程序漏洞的问题,现行的系统多多少少会发生一些异常或者bug,给用户体验甚至利益造成影响。而现在的第三方监控工具大多是关于服务器硬件...

1816

扫码关注云+社区