Cloudflare を利用しているHTTPSサイトのセッション内容が漏洩する

CloudFlare を利用しているHTTPSのセッションが漏洩する

CloudFlareの02/23の発表によると、02/17にGoogleのProject ZeroのTavis Ormandy氏より、エッジサーバーにセキュリティ面での欠陥があるとの報告を受けたとのこと。

CloudFlareが確認したところ、いくつかのHTTPリクエストをCloudFlareを使用しているサイトに送信すると、HTTP Cookie、認証トークン、HTTP POST本体、その他の機密データなどの個人情報を含んだレスポンスを返したようです。

また、この機密情報を含んだレスポンスが検索エンジンにキャッシュされてしまう自体に陥ったとのこと。

この問題を受け、CloudFlareは漏洩の原因となった、HTMLパーサーチェーンを使用していた3つの機能、電子メールの難読化、サーバサイド除外、自動HTTPSリライトを無効化しました。

これで、HTTPSセッション内容がレスポンスに含まれないようになりましたが、検索エンジンにキャッシュされた情報がまだ残っています。

そこで、CloudFlareはサンフランシスコとロンドンのチームと、Googleと協力してキャッシュされた情報を削除しました。

キャッシュを削除する前に問題を公にすると、被害が拡大するため問題が全て解決してから発表したので、初回の報告から情報公開まで時間がかかったとのこと。

なお、SSLの秘密鍵は漏洩していないとのことです。

[table id=16 /]

Cloudflareは無料で使えるCDNで日本でも人気の高いサービスです。

しかも最近では、CloudflareのユーザーにはSSL証明書を無料で利用できるような施策も行っており、ユーザーはさらに増え続けているかと思います。

そんな中でのこの情報漏洩。ユーザーにとってはかなりの痛手ですね。

ただ、初動から終息までの対応は素晴らしい物で、Cloudflareの対応能力の高さは非常に評価できるかと思います。

最近、GitlabのDB消失やmixhostのサーバダウンなどトラブルが続いていますね・・・