ニュースソース:Cloudflare blog
以下の文章は、CDN(コンテンツ配信ネットワーク)サービスを全世界で展開するCloudflareで2017年2月18日に発生したメモリリークのインシデントについて、Cloudflare自身が同2月23日に公開したIncident report on memory leak caused by Cloudflare parser bugを要約したものです。
HTMLパーサーのバグにより、HTTP Cookie、認証トークン、HTTP POST本体、その他の機密データなどの個人情報を含むメモリが漏洩しました。
そのデータの一部は検索エンジンによってキャッシュされていました。
しかし、Cloudflareのお客様のSSL秘密鍵は漏洩しませんでした。
影響が最大だったのは2017年2月13日からと2017年2月18日でした。
インシデント対応のタイムライン
2017-02-18 00:11 Tavis OrmandyがCloudflareの連絡先情報を求めるTweet
2017-02-18 00:32 CloudflareがGoogleからバグの詳細情報を受け取る
2017-02-18 00:40 サンフランシスコのクロスファンクショナルチームが始動
2017-02-18 01:19 全世界を対象に電子メール難読化を停止
2017-02-18 01:22 ロンドンチームが参加
2017-02-18 04:24 全世界を対象に自動HTTPSリライトを停止
2017-02-18 07:22 cf-htmlパーサーのキルスイッチを実装するパッチを全世界にデプロイ
2017-02-20 21:59 修正済みSAFE_CHARを全世界にデプロイ
2017-02-21 18:03 自動HTTPSリライト、Server-Side Excludeおよび電子メールの難読化が世界中で再開
(UTC表記です)
- バグの根本原因
- インシデントは、なぜ今、発生したのか
- バグのCloudflare内部への影響
- 外部への影響とキャッシュクリア