与著名的 HeartBleed 漏洞泄漏相比，这在某些方面是相似的：未初始化的内存暴露意味着不相关的私有数据被泄露。

更好的东西

• 这仅影响在 CloudFlare 上运行的代码，并且该错误在收到通知一小时后停止运行。此错误不会泄露任何新数据。

• 如果有人知道这个错误，他们就无法针对个人。转储的会话似乎是随机的。

• CloudFlare 有日志，他们没有透露任何人知道并利用这个漏洞的迹象。

更糟糕的事情

• 未初始化的内存转储的大小是巨大的。它们定期捕获完整的 HTTP 标头和请求正文的重要部分。这几乎泄露了劫持会话所需的所有数据，如果捕获了登录会话，它当然会包括密码。

• 这是免费轮盘赌。对无效 URL 的重复请求只会转储越来越多的随机数据。

• 如果有人意识到这一点，他们可能会设计一个页面，导致它创建几乎任意大小的数据转储，甚至只是反复点击已经存在的无效 URL。

• 最终用户可能会受到损害，而网站或用户部分没有任何弱点。

• 在这次披露之后，一些不幸的用户仍然会在缓存中存在泄露的数据，并且他们将被广泛披露。如果这些会话 cookie 没有失效，实际上可以保证有人会登录他们的帐户。

有人如何处理这样的事件？

限制会话令牌的生命周期并使用适当的双因素身份验证将解决数据的长期泄漏问题，从而防止某人获得长期会话。CloudFlare 的客户可以使所有会话 cookie 无效并强制轮换所有密码，尽管这不太可能发生。

这对我意味着什么？

CloudFlare 声称没有泄露私有 SSL 密钥，因为它们确实在单独的进程中终止，因此虽然此类错误通常会在那里引起关注，但在这种特殊情况下不会。

在安全社区中，思考具有巨大爆炸半径的可能的长期错误是一个很好的教训。大多数人可能完全不受影响，尽管如上所述，少数人会失去运气好的彩票。