The Cloudflare Blog
·
我们如何缓解Cloudflare ACME验证逻辑中的漏洞
内容提要
2025年10月13日,FearsOff的安全研究人员发现Cloudflare的ACME验证逻辑存在漏洞,影响部分WAF功能。该漏洞已修复,Cloudflare客户无需采取行动,且未发现恶意利用。漏洞源于ACME HTTP-01挑战路径的请求处理逻辑,Cloudflare已更新代码,仅在请求匹配有效挑战令牌时禁用安全功能。
关键要点
-
2025年10月13日,FearsOff的安全研究人员发现Cloudflare的ACME验证逻辑存在漏洞,影响部分WAF功能。
-
该漏洞源于ACME HTTP-01挑战路径的请求处理逻辑,导致WAF功能在某些请求中被禁用。
-
Cloudflare已修复该漏洞,客户无需采取任何行动,且未发现恶意利用。
-
ACME协议用于自动化SSL/TLS证书的颁发、续订和撤销。
-
漏洞的根本逻辑缺陷在于某些请求会导致WAF功能被禁用,从而允许请求继续到达客户源。
-
修复措施是更新代码,仅在请求匹配有效的ACME HTTP-01挑战令牌时禁用安全功能。
-
Cloudflare感谢外部研究人员负责任地披露漏洞,并鼓励社区提交任何发现的漏洞。
-
Cloudflare承诺优先考虑安全,并在出现问题时迅速透明地采取行动。
延伸问答
Cloudflare的ACME验证逻辑漏洞是什么?
该漏洞影响了Cloudflare的WAF功能,源于ACME HTTP-01挑战路径的请求处理逻辑,导致某些请求中WAF功能被禁用。
Cloudflare是如何修复这个漏洞的?
Cloudflare通过更新代码,确保只有在请求匹配有效的ACME HTTP-01挑战令牌时才禁用安全功能,从而修复了漏洞。
这个漏洞对Cloudflare客户有影响吗?
Cloudflare客户无需采取任何行动,且未发现恶意利用该漏洞的情况。
ACME协议的作用是什么?
ACME协议用于自动化SSL/TLS证书的颁发、续订和撤销。
漏洞的根本逻辑缺陷是什么?
根本逻辑缺陷在于某些请求会导致WAF功能被禁用,从而允许请求继续到达客户源。
Cloudflare对外部研究人员的态度是什么?
Cloudflare感谢外部研究人员负责任地披露漏洞,并鼓励社区提交任何发现的漏洞。
