一篇文章带你看懂 Cloudflare 信息泄露事件

1.问题描述

近期根据 Hacker News 的报道,以及国际 CDN 厂商 cloudflare 的公告,我们注意到了一起敏感信息、API 密钥被 Cloudflare 泄露给了随机的 requesters 请求,同时相关敏感数据也被搜索引擎给收录的问题。

这一问题持续了 2016-09-22至 2017-02-18近半年时间,最为严重的阶段是2-13至2-18 每 3,300,000 HTTP 请求就有可能泄露一份内存数据(近总请求量的0.00003%),预计是100k-200k 页面涉嫌数据泄露。包括 uber 在内的一系列知名互联网企业可能受到影响。

以下是可能受到这一问题影响的网站清单:https://github.com/pirate/sites-using-cloudflare/blob/master/README.md

2.信息泄露问题原因

Cloudflare CDN 服务 会对 HTML 标签进行重新解析,比如将 Google Analytics 的标签插入到 HTML 中, 安全地重写 http:// 链接成为 https:// , 模糊 email 邮箱地址等等。但是由于 NGINX 模块中的 HTML 解析功能存在指针问题,导致在用户之间共享的反向代理存在信息泄露问题,最早是由 Google’s Project Zero 的研究员 Tavis Ormandy 发现。

之前 Cloudflare 的 HTML 解析一直使用标准的 Ragel 有限状态机编译器( www.colm.net/open-source/ragel/) ,但是前段时间Cloudflare为了提升代码效率对解析器进行了升级,将其升级为 cf-html 并测试了其对 HTML5 的解析是没有问题的。但是问题出在了开发团队错误的使用了 Ragel 的编码规范,Ragel 的代码会被自动编译为 C 语言的代码,而 C 语言允许更加灵活的使用指针。

/* generated code */ if ( ++p == pe ) goto testeof;

以上Ragel自动生成的代码会导致指针越界,也就是常见的内存泄露问题。但是之前Ragel实现的HTML 解析模块单独使用并不会触发信息泄露问题,而是仅当基于 Ragel 解析器与 Cloudflare 升级后的 cf-html 解析器一起工作的时候才会触发这一问题。

3.解决方案

3.1迁移至腾讯云CDN

腾讯云CDN提供基于角色的CDN权限控制,并且支持以API接口方式调用。同时新用户开通CDN即连续6个月,每月赠送50G流量包。

* 财务管理员
* 超级管理员
* 云资源管理员

超级管理员拥有创建者的所有权限,可以进行其他子用户的分配;而云资源管理员拥有对所有云资源的管理权限,但不可以创建其他子用户。部分功能仅能够供预设管理员使用,具体如下:

* 使用云API DescribeCdnHosts 获取账户下所有域名详细信息;
* 使用云API UpdateCdnProject 或在 CDN控制台 进行域名所属项目的切换;

项目管理员除了预设管理员外,还可以按照项目维度划分权限,即项目管理员。项目管理员可以管理指定项目中所有的云资源。

项目管理员可以通过自定义策略 中服务类型为项目管理的策略进行指派,该策略拥有两个功能:

* 管理 CDN 业务项目内云资源
* 管理其他业务项目内云资源

3.2考虑在你的应用中实现 Keyless (无密钥加载)架构

对证书稍微熟悉的朋友都知道,SSL 密钥和证书都是成对使用的,一个证书一定唯一对应一个私钥。整个 HTTPS 最重要的一个数据就是 SSL 的私钥了,如果私钥泄露,整个握手过程就可以被劫持,签名可以被伪造,对称密钥也可以被破解。整个 HTTPS 就毫无安全可言。

传统的私钥使用方案和风险传统的私钥方案就是将私钥和应用程序绑定在一起。比如大家熟知的 nginx, apache,如果想使用 HTTPS,必须在部署 nginx 的接入机器上部署相关的证书和私钥。

这种方案会有如下安全上的问题:私钥部署在云端或者 CDN,如果泄露了怎么办?

无秘钥方式虽然腾讯云的内网非常安全,但是出于对客户的安全负责,彻底打消用户对私钥泄露的顾 虑,确保用户对私钥的绝对控制,腾讯云提供一种无私钥的加载方案。这个方案核心是「不需要把私钥存储在腾讯云,允许用户使用自己的服务器保管私钥,完成 HTTPS 的接入」。 腾讯云完全接触不到私钥,客户甚至可以把私钥保存在自己家里的服务器上。

它的接入过程如下:

1. 用户发起 HTTPS 握手请求。
2. 在涉及到私钥计算的时候,腾讯云 CLB 会将这个私钥计算请求通过加密的自定义协议,转发给用户自己的 keyless 服务器上。
3. keyless 服务调用用户的私钥完成计算。
4. keyless 服务将计算结果返回给腾讯云 CLB。
5. CLB 继续进行 HTTPS 请求的处理。

整个过程,腾讯云接触不到 HTTPS 私钥,需要注意一点的,keyless server 是腾讯云提供一个服务端程序,代码开源,用户自主部署,服务端行为用户掌握得一清二楚。

总结来说Keyless(无密钥加载)架构可以更好的实现用户的私钥安全性,但是会对于开发者而言增加一次网络交互,一般来说100-200ms的网络延时,除非是对于安全性有非常高要求的应用,才会考虑这一方式,是用腾讯云的这一架构需要和我们的技术人员单独沟通以明确需求。

4.参考资料list

https://www.qcloud.com/document/product/228/6689

https://www.qcloud.com/community/article/207618001486449512

《List of Sites possibly affected by Cloudflare's》

《report of bugs》

《Incident report on memory leak caused by Cloudflare parser bug》

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏企鹅号快讯

站长须知:HTTP迁移HTTPS时,如何避免发生重复内容问题

目前,网络传输协议已逐步倾向于HTTPS加密协议。而HTTP升级到HTTPS的方法并不难,只需部署一张SSL证书即可,其安装方法并不难。具体系统安装SSL证书方...

2167
来自专栏FreeBuf

深入解读MS14-068漏洞:微软精心策划的后门?

0x0 背景 初次认识该漏洞是在FreeBuf上对该漏洞的预警《漏洞预警:系统权限提升漏洞(CVE-2014-6324)影响全版本Windows服务器》: 微软...

2018
来自专栏针针小站

【AOA】Bingle Bangle 打榜 – Youtube油管教程

2583
来自专栏FreeBuf

linux中发现基于sshd的rootkit

internet Storm Center安全专家近日发表一篇报告,报告中称在linux系统中发现基于ssh服务的rootkit,使用RPM安装的系统会受到影响...

2136
来自专栏JetpropelledSnake

Python Web学习笔记之多道程序设计技术和操作系统的特性

采用了多道程序设计技术的操作系统具有如下特性 : ① 并发性。它 是指两个或两个以上的事件或活动在同一时间间隔内发生。操作系统是一个并发系统,并发性是它的重...

26912
来自专栏Python爬虫与算法进阶

说说最近遇到的反爬

参数加密指的是在请求中需要加上类似token、uuid 字段,例如在某个请求中query string parameters中有_token和uuid、cust...

1313
来自专栏FreeBuf

邮件形同裸奔,PGP与S/MIME加密协议被曝严重漏洞

由9名学者组成的团队向全世界发出警告,OpenPGP和S / MIME电子邮件加密工具中的严重漏洞。该研究小组称,这个代号为EFAIL的漏洞如果被利用,将允许攻...

925
来自专栏FreeBuf

市面上多种流行的固态硬盘产品存在硬盘加密机制绕过漏洞

近期,荷兰奈梅亨拉德堡德大学研究人员发现,市面上多种流行的固态硬盘( SSD drive)存在加密机制可绕过漏洞,无需密码即可绕过硬盘加密措施,从而获取到硬盘中...

1023
来自专栏林德熙的博客

用 sim 卡加密保护资金

很多人都有使用手机支付的习惯,很多人都会把账号绑定手机。但是大家是否想过,如果手机丢了什么办? 也许大家会说,自己的手机加了密,别人打不开。但是有没想到,实际上...

1172
来自专栏FreeBuf

Microsoft Outlook 爆严重漏洞,可允许远程代码执行

近期,微软发布了一系列补丁,修复了自身产品中一些影响广泛以及关键的Bug,其中包括更新了微软Office套件版本,解决了其中的部分安全问题。而安全专家研究发现,...

2389

扫码关注云+社区