CloudBleed和HeartBleed有什么不同？

Question

鉴于最近泄露的信息来源于CF的边缘服务器的HTML-1解析器的缓冲区溢出；从根本上讲，它与HeartBleed有何不同？

CloudFlare在这里详细介绍了这个bug：https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/

但有人能用外行的话说吗？

Answer 1

“心脏出血”和“云出血”都是were服务器错误，它们从缓冲区返回不应该有的敏感数据。这就是它们的相似之处(以及它们都被称为“出血”的原因)。

一个主要的区别是，“心脏出血”是openssl的一个错误，openssl是一个由数百万web服务器使用的库。修复心脏出血需要对每个web服务器进行修补。云流是专有web服务器中的一个缺陷，只影响Cloudflare托管站点。Cloudflare拥有所有受影响的服务器，并对它们进行了修补。

另一个不同之处是，Cloud排被修复并在发现后迅速修补，从而防止攻击者深入研究该漏洞，并找出可能的方法来利用泄露的数据进一步攻击服务器。花了很长一段时间才对所有服务器进行了详细的研究，发现包含私钥信息的内存可能被窃取。

另一个不同之处是Cloud排泄露的数据位于web服务器返回的普通数据流中，泄漏的数据可能在搜索引擎可能缓存的任何搜索引擎中徘徊。“心脏出血”泄露的数据只是响应一条心跳请求消息，而这条消息通常不会被搜索引擎请求或缓存。(感谢@gowenfawr和@Krazor指出这一点。)