根据 Google 安全研究员 Tavis Ormandy 在 Twitter 上披露,Cloudflare 泄露用户 HTTPS session 长达数月之久,影响范围巨大,涉及 Uber, 1Password, Fitbit 等公司。
Tavis 一直在 Project Zero 上持续汇报相关进度(具体情况),根据他的说法,Cloudflare 本来承诺周二发布公开声明,但实际情况是声明多次延期,直到 7 个小时前 Cloudflare 才发布公开声明 Incident report on memory leak caused by Cloudflare parser bug。
除延期之外,令 Tavis 不满的还有,虽然 Cloudflare 在声明中很好地检讨了技术上的问题,但对于用户的威胁却只是一笔带过。
最有戏剧性的一点是,在 Tavis 做了如此多的努力,并希望 Cloudflare 能重视这次问题之后,Cloudflare 对于报告 bug 的人(Tavis)只奖励了一件T恤,显然没有给予该事件相应的重视,这或许也是让 Tavis 最终将该事件在 Twitter 上曝光的原因之一。
附录:
Tavis 的研究报告:cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory
Cloudflare 官方关于问题的报告:Incident report on memory leak caused by Cloudflare parser bug
hacker news 上的讨论: Cloudflare Reverse Proxies Are Dumping Uninitialized Memory
