用戶包括Fitbit、Uber、1Password及OkCupid的知名網頁防火牆及代理伺服器業者CloudFlare上周證實網站出現記憶體洩露漏洞，用戶密碼及個資曝光長達5個月。安全公司呼籲用戶修改所有網站密碼。

CloudFlare技術長John Graham-Cumming指出漏洞出現在CloudFlare三項「小」功能，包括電子郵件程式碼混淆（obfuscation）、Server-side Excludes及Automatic HTTPS Rewrites之中讀取網頁的HTMLParser程式碼中。Parser程式碼中原本該是”==”的地方，卻被打成了”>=”，導致緩衝溢位（buffer overflow），使大量CloudFlare的伺服器記憶體內容外洩而可被前端HTTP呼叫。

Google旗下的Project Zero安全研究員Tarvis Ormandy於去年9月22日揭露這項漏洞，直到2月28日CloudFlare修補，中間已經過5個月。由於其性質與2014春天爆發的OpenSSL函式庫漏洞Heartbleed頗為類似，故Ormandy已CloudFleed稱之。當時他發現大量知名網站用戶資料外洩，受害者從約會網站、知名通訊服務、密碼管理網站、成人影片網站、訂房網站等，外洩內容從完整HTTPS呼叫、用戶端IP位址、通訊內容、cookies、個人機密資訊、密碼、API Key、加密金鑰等等，只要隨意上CloudFlare查詢，全部都能輕易找到。

由於CloudFlare是業界數一數二的網頁防火牆及代理伺服器（reverse proxy systems）業者，因此任何該公司代理伺服器，包括HTTP及HTTPS代理伺服器服務的所有網站客戶，都是此次漏洞的潛在受害者。

CloudFlare說明，由於該公司是於隔離的NGINX環境下處理SSL連線，因此客戶的SSL加密金鑰並未外洩，同時也關閉了三項出問題的功能，防堵記憶體外洩情形。不過安全專家認為災難並未結束；Github網站有用戶列出可能受影響的網域高達4,287,625個。另外有統計，從2月13到18日之間，每天有20到30萬張網頁從CloudFlare伺服器上外洩，且有770個URL已被Google、Yahoo、Bing等搜尋引擎快取下來而可能被搜尋到。

安全公司NowSecure則分析出，部份外洩資料Fitbit Android版、Uber及免費VoIP及傳訊服務Discord，另外，使用CloudFlare的200個iOS app，像是Yelp、Dropbox、CNN等則可能有外洩風險。

安全專家呼籲用戶應關閉所有網站的主動連線（active sessions）設定，而且最好應立即修改所有網站服務密碼，因為除了受影響的網站外，有些網站之中有些又可對未在外洩名單上的網站進行API呼叫，使後者遭到波及。