谷歌的Project Zero发现一个严重Cloudflare漏洞，该漏洞可能已经导致Cloudflare内容交付网络托管的数百万网站的客户数据泄露。

此次数据泄露是较旧的HTML解析器和Cloudflare去年9月开始使用的解析器之间错误交互所导致的内存泄漏的结果。Cloudflare公司在其事件报告中表示只有330万之一的HTTPS请求泄露敏感客户信息，包括个人身份信息(PII)密码、cookies和令牌等。

然而，自去年9月以来，该Cloudflare漏洞就可允许任何在Cloudflare CDN客户网站运行网络抓取程序的人访问敏感信息。这就是说，在2016年9月22日到2017年2月之间传输的Cloudflare客户数据可能已经暴露给第三方。目前尚不清楚有多少Cloudflare客户以及托管网站数据泄露，因为该公司仍然在调查该事件以及通知客户。

这个Cloudflare漏洞是由谷歌Project Zero研究人员Tavis Ormandy发现，Ormandy在问题跟踪记录中写道：“这种情况很不寻常。在正常使用期间，抓取工具和用户可下载个人身份信息;只是他们不知道自己看到的是什么。”

Ormandy发现了“来自主要约会网站的私人信息、知名聊天服务的完整信息、在线密码管理器数据、成人视频网站数据以及酒店预订数据等。我们谈论的是完整的https请求、客户端IP地址、完整的响应、cookie、密码、密钥、数据等。”

Cloudflare随即作出响应，他们发现三个CDN功能在使用可疑的HTML解析器，并将它们关闭。“这个漏洞非常严重，因为泄露的内存可能包含私人信息，并且它已被搜索引擎缓存，”Cloudflare公司编程人员John Graham-Cumming在事件报告中指出，“我们还没有发现任何表明该漏洞被恶意利用的证据。”

Graham-Cumming写道“有些”客户数据被搜索引擎缓存，而Cloudflare正在与谷歌及其他搜索引擎公司合作来删除这些缓存数据。

Project Zero团队共享了与Uber、OkCupid以及Fitbit的用户PII相关的屏幕截图(编译版);Cloudflare的内容交付网络拥有超过500万网站，任何使用Cloudflare托管网站的用户都可能受影响。

Ormandy等人称赞Cloudflare的快速反应。Ormandy写道：“在我解释了情况后，Cloudflare快速重现了这个问题，并告诉我他们在一小时内实施了初步缓解。”

Graham-cumming称这个Cloudflare漏洞“最大影响时间”是从2月13日到2月18日，这正是2017年RSA大会发生的时间--安全行业最繁忙的时期之一。

Cloudflare称其正在推出改进程序来解析HTML数据，而这不经意导致与其较旧解析器的冲突;其结果是，该软件从未初始化的内存提取数据，并提供给浏览器、机器人和网络抓取工具。

“这是包含潜在安全问题的古老软件，这个问题发生在我们的迁移过程中，”Graham-Cumming写道，“我们内部信息安全团队正在采取措施以从较旧软件中寻找潜在其他安全问题。”

(责任编辑：安博涛)