日頃考えていることをぽちぽち書きます。

今のところ、僕はCloudflareのバグの影響は僅少

»

皆さんも影響出ていないでしょうか?
CDN企業Cloudflareのバグで、多数のサービスで機密データ流出の可能性
この記事では影響を受けたサービスとして、Uber、Fitbit、Feedlyがあげられています。僕はまさにFeedlyを重用しており、同サービスでも情報と対処方法が出ていました。幸いにして、Feedlyのログインは使用していないため、ログインのやり直しのみで十分な模様。Uberも登録してあったのですが、今の所連絡等何もなし。他のサービスも今の所、何もなし。本当に大丈夫なのでしょうか。とりあえずUberのパスワードは変更しました。これすらやり方がわかりにくかった。

上記記事から、第三者がまとめた影響を受けた可能性のあるドメインのリストに行けますが、量が多すぎること、正確性も不明なことから、記事の中に出てくる通り、パスワードを変更する方が安全そうです。とても面倒ですけど。
パスワードは変更して助かったとしても、HTTP POST本体まで漏れているのですから、それらの影響は読みきれません。ひどすぎるバグです。

Incident report on memory leak caused by Cloudflare parser bug
に詳しく現象について開発者自身による説明があります。
Ragel言語を使用して開発した古いモジュールに潜在的に不具合があったが顕在化していなかった。昨年から根本的に作り直したモジュールを順次導入したところ、古いモジュールの不具合が発現するようになったそうです。
解説によると、特定のHTMLタグが不十分な時のエラー処理の誤りで、バッファオーバーランを起こしています。

このような不具合、ユーザーから対処のしようが無く、提供側でしっかりしてもらうしかありません。でも、これをやれば完全と言う手段が無いのも事実。機能安全のようにきっちり設計・実装・評価をする体制や結果を検証するのも一つの方法ですが、工数がかかるだけでなく、完全に防げるわけでもありません。提供側は最大限の努力をすると同時に適宜情報開示し、使う側はそれを見て対処する、当たり前だけど曖昧な処置しかなさそうです。

Comment(0)

コメント

コメントを投稿する