Cloudflare を利用しているHTTPSサイトのセッション内容が漏洩する

Cloudflare ニュース
スポンサーリンク

CloudFlare を利用しているHTTPSのセッションが漏洩する

CloudFlareの02/23の発表によると、02/17にGoogleのProject ZeroのTavis Ormandy氏より、エッジサーバーにセキュリティ面での欠陥があるとの報告を受けたとのこと。

HTTPSのセッション内容が漏洩

CloudFlareが確認したところ、いくつかのHTTPリクエストをCloudFlareを使用しているサイトに送信すると、HTTP Cookie、認証トークン、HTTP POST本体、その他の機密データなどの個人情報を含んだレスポンスを返したようです。

また、この機密情報を含んだレスポンスが検索エンジンにキャッシュされてしまう自体に陥ったとのこと。

CloudFlare側の対応

この問題を受け、CloudFlareは漏洩の原因となった、HTMLパーサーチェーンを使用していた3つの機能、電子メールの難読化、サーバサイド除外、自動HTTPSリライトを無効化しました。

これで、HTTPSセッション内容がレスポンスに含まれないようになりましたが、検索エンジンにキャッシュされた情報がまだ残っています。

そこで、CloudFlareはサンフランシスコとロンドンのチームと、Googleと協力してキャッシュされた情報を削除しました。

キャッシュを削除する前に問題を公にすると、被害が拡大するため問題が全て解決してから発表したので、初回の報告から情報公開まで時間がかかったとのこと。

なお、SSLの秘密鍵は漏洩していないとのことです。

今回の時系列

日時(日本時間)内容
2017/02/18 09:11Tavis Ormandy氏がCloudflareにTwitterでコンタクトを図る。
2017/02/18 09:32Googleよりバグの詳細情報を受け取る。
2017/02/18 09:40サンフランシスコで対策チームを立ち上げ。
2017/02/18 10:19メールの難読化機能を無効化。
2017/02/18 10:22ロンドンで対策チームを立ち上げ。
2017/02/18 13:24自動HTTPSリライト機能を無効化。
2017/02/18 16:22cf-htmlパーサーのキルスイッチを実装し、展開。
2017/02/21 06:59バグFIXを展開。
2017/02/22 03:03メール難読化機能、自動HTTPSリライト機能、サーバサイド除外機能をそれぞれ有効化

まとめ

Cloudflareは無料で使えるCDNで日本でも人気の高いサービスです。

しかも最近では、CloudflareのユーザーにはSSL証明書を無料で利用できるような施策も行っており、ユーザーはさらに増え続けているかと思います。

そんな中でのこの情報漏洩。ユーザーにとってはかなりの痛手ですね。

ただ、初動から終息までの対応は素晴らしい物で、Cloudflareの対応能力の高さは非常に評価できるかと思います。

最近、GitlabのDB消失やmixhostのサーバダウンなどトラブルが続いていますね・・・

Source: Cloudflare

コメント

タイトルとURLをコピーしました