2025年12月5日,全球知名的网络安全服务提供商Cloudflare遭遇了一次严重的系统故障,影响了约28%的HTTP流量。此次故障从UTC时间08:47开始,持续了约25分钟,直到09:12才完全解决。受影响的客户在访问网站时收到了HTTP 500错误代码,表示服务器内部错误。此次故障并非由外部网络攻击引起,而是由于Cloudflare在尝试缓解React服务器组件中的安全漏洞(CVE-2025-55182)时,对请求体解析逻辑进行的更改所导致。

在此次事件中,Cloudflare的Web应用防火墙(WAF)为了保护客户免受恶意载荷的攻击,将HTTP请求正文内容缓存在内存中进行分析。为了增强安全性,Cloudflare开始逐步将缓存区大小从128KB增加到1MB,但这一更改触发了内部WAF测试工具的不兼容问题。由于该工具对客户流量没有直接影响,Cloudflare决定关闭该工具,并通过全局配置系统进行更改。然而,这一更改在FL1版本代理中导致了错误状态,使得网络发出500 HTTP错误代码。

此次事件暴露了Cloudflare在系统变更管理上的问题。尽管Cloudflare在11月18日已经发生过一次类似的可用性事件,但他们表示已经采取了措施来防止类似事件再次发生。这些措施包括增强型部署和版本控制、精简的紧急应对能力以及‘故障绕过’的错误处理等。Cloudflare团队对此次事件给客户和互联网带来的影响表示诚挚的歉意,并承诺在下周结束前发布所有正在进行的弹性项目的详细清单。

标签: none

评论已关闭