The Cloudflare Blog
·
修复Pingora中的请求走私漏洞
内容提要
2025年4月11日,Cloudflare发现Pingora OSS框架存在请求走私漏洞,可能影响使用Cloudflare CDN免费版的客户。经过22小时调查,Cloudflare已修复该漏洞,建议用户升级至0.5.0版本或更高。
关键要点
-
2025年4月11日,Cloudflare发现Pingora OSS框架存在请求走私漏洞。
-
该漏洞可能影响使用Cloudflare CDN免费版的客户,经过22小时调查,Cloudflare已修复该漏洞。
-
建议用户升级至Pingora 0.5.0版本或更高。
-
请求走私是一种攻击方式,攻击者利用不同系统解析HTTP请求的不一致性。
-
Pingora的请求走私漏洞源于HTTP/1.1解析错误,特别是在启用缓存时。
-
Cloudflare在2025年4月11日开始推出带有缓存支持的Pingora代理组件,该组件存在请求走私攻击的风险。
-
攻击者可以通过该漏洞修改请求头和/或URL,导致用户请求被重定向到恶意网站。
-
Cloudflare在发现漏洞后立即禁用受影响组件的CDN流量,并在2025年4月19日发布了修复补丁。
-
如果使用Pingora框架的缓存功能,用户应更新至最新版本0.5.0。
-
Cloudflare感谢安全研究人员的负责任披露,承诺将继续优先考虑安全性。
延伸解读
请求走私漏洞的影响
Pingora中的请求走私漏洞可能导致用户请求被重定向到恶意网站,攻击者可以利用这一漏洞获取用户的敏感信息。尤其是使用Cloudflare CDN免费版的客户,需特别关注此漏洞的潜在风险。
修复过程的及时性
Cloudflare在发现漏洞后,仅用22小时就完成了调查并修复了问题,显示出其对安全问题的高度重视和快速响应能力。这种及时的处理方式有助于增强用户对Cloudflare服务的信任。
用户应采取的措施
使用Pingora框架的用户应尽快升级至0.5.0版本或更高,以确保系统安全。虽然Cloudflare已对免费版用户进行了补丁处理,但主动更新仍是保护自身安全的重要步骤。
延伸问答
Pingora中的请求走私漏洞是什么?
请求走私漏洞是攻击者利用不同系统解析HTTP请求的不一致性,可能导致请求被重定向到恶意网站。
Cloudflare是如何发现并修复Pingora漏洞的?
Cloudflare于2025年4月11日通过Bug Bounty Program发现该漏洞,并在22小时内修复,建议用户升级至0.5.0版本或更高。
使用Pingora框架的用户需要采取什么措施?
用户应升级至Pingora 0.5.0版本或更高,以确保安全。
请求走私漏洞是如何影响Cloudflare CDN的?
该漏洞可能导致用户请求被重定向,攻击者可以观察用户原本访问的URL。
Pingora的请求走私漏洞是如何产生的?
漏洞源于HTTP/1.1解析错误,特别是在启用缓存时,导致请求体未被正确处理。
Cloudflare对安全研究人员的反馈是什么?
Cloudflare感谢安全研究人员的负责任披露,并承诺将继续优先考虑安全性。
