Cloudflareセキュリティインシデントレポート

重要なセキュリティ通知：

ご存知かもしれませんが、VultrはCloudflareのCDN製品を利用して、世界中のWebサイトの速度を向上させ、サイトへのさまざまな悪意のある攻撃から保護しています。

Cloudflareは最近、データがCloudflare CDNの背後にあるサイトからのプライベートデータをもたらす可能性があるセキュリティの脆弱性を明らかにしました。Cloudflareのセキュリティチームによると、影響が最も大きかった期間は2月13日と2月18日で、Cloudflareを介したHTTPリクエスト3,300,000ごとに約1件で、メモリリークが発生する可能性があります。Cloudflareは発見された問題に迅速にパッチを適用しましたが、機密データがGoogle.comなどのデータをキャッシュするサードパーティの検索エンジンに漏洩する可能性がありました。

CloudflareはGoogleのセキュリティチームと協力して、関連するVultrリンクのキャッシュデータを検索し、データが見つからないことを確認しました。これに基づいて、このCloudflareバグによってVultrの顧客情報が侵害されたと信じる理由はありません。

これは、アカウントを保護するための最良のセキュリティ慣行を思い出させる良い機会です。

• メインvultr.comアカウントのログインで2要素認証を有効にします。
• 90日（またはそれ以下）ごとにコントロールパネルのパスワードを変更します。
• 最初のデプロイ後は、常にインスタンスのデフォルトパスワードを変更してください。
• APIサービスを利用する場合は、API IP ACLが正しく構成されていることを確認してください。
• 個人情報を危険にさらしたり漏洩したりする可能性のあるマルウェア、スパイウェア、ブラウザー拡張機能、Viriiがないかコンピューターを定期的にスキャンします。

今後も状況を注意深く監視し、これまでに受け取った事実に変化があった場合はCloudflareと密接に連絡を取り続けます。Vultrでは、アカウントのセキュリティを最優先事項としています。

追加の背景情報：

https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/

https://bugs.chromium.org/p/project-zero/issues/detail?id=1139