Ọsẹ meji lẹhin ijade agbaye ti o kẹhin, lana, nẹtiwọọki ifijiṣẹ akoonu akoonu Cloudflare, eyiti o mu isunmọ 20% ti gbogbo ijabọ wẹẹbu agbaye, ni iriri ijade apa kan fun awọn iṣẹju 25. Lakoko iṣẹlẹ naa, o fẹrẹ to idamẹta ti awọn ibeere Cloudflare da oju-iwe ofo kan pada pẹlu koodu aṣiṣe 500 kan. Ni akoko yii, idi naa jẹ ọran ti pẹ to ni koodu Lua ti a lo nipasẹ eto sisẹ ijabọ WAF (Ohun elo Oju opo wẹẹbu) lati ṣe idiwọ awọn ibeere irira.
Láti dáàbò bo àwọn ètò oníbàárà kúrò lọ́wọ́ ewu tó le koko (CVE-2025-55182) nínú àwọn ẹ̀yà olupin ti ètò React, lẹ́yìn tí wọ́n tú ìlò kan jáde ní gbangba, àwọn onímọ̀ ẹ̀rọ Cloudflare ṣe ààbò ní ìpele WAF. Ìmúṣe ààbò náà kò sí láìsí àwọn ìpèníjà rẹ̀: nígbà tí wọ́n ń ṣe é, wọ́n mú kí ìwọ̀n ààbò fún àyẹ̀wò ọkọ̀ lórí aṣojú pọ̀ sí i.àwọn olupin, ṣùgbọ́n ó hàn gbangba pé ohun èlò ìdánwò WAF kò ṣe àtìlẹ́yìn fún ìwọ̀n ìpamọ́ tí a sọ. Nítorí pé ohun èlò yìí kò ní ipa lórí ìjáde, a pinnu láti pa á.
Lati mu idanwo naa kuro, awọn onimọ-ẹrọ lo eto-pipa-pipa “killswitch” fun iyipada iṣeto ni iyara ati piparẹ awọn olutọju Lua kọọkan lori awọn olupin aṣoju laisi iyipada awọn ofin. Ọna yi ti pipa awọn ofin jẹ lilo lẹẹkọọkan lati yara yokokoro awọn idun ati awọn abajade ni ipaniyan ti diẹ ninu koodu Lua ti fo. Àmọ́ ṣá o, àwọn onímọ̀ ẹ̀rọ náà kùnà láti gbà gbọ́ pé àwọn ìlànà Lua lo ọ̀nà “ìṣẹ́ṣẹ́” láti pe àpótí irinṣẹ́ ìdánwò náà di alaabo, tí ń ṣiṣẹ́ àfikún àwọn ìlànà. Ipo “killswitch” ko tii lo tẹlẹ pẹlu awọn ofin ti o pe ni “ṣiṣẹ,” ati pe a ko ti ni idanwo apapo yii.
Lilo “killswitch” alaabo koodu ti n ṣalaye awọn ilana ofin idanwo afikun, ṣugbọn ipe ti ofin yii nipasẹ “ṣiṣẹ” wa. Awọn koodu ni unkankan afikun sọwedowo fun ohun aye ati ki o ro pe ti o ba ti awọn "execute" igbese wà bayi ni awọn ruleset, awọn "rule_result.execute" ohun yoo wa. Bi abajade, a ṣe igbiyanju lati ṣiṣẹ ọna "ṣiṣe" lori ohun ti ko ni ipilẹṣẹ, eyiti o fa ki oluṣakoso naa ṣubu pẹlu aṣiṣe "igbiyanju si aaye atọka 'execute' (iye kan nil)". ti rule_result.action == "execute" lẹhinna rule_result.execute.results = ruleset_results[tonumber(rule_result.execute.results_index)] opin
orisun: opennet.ru
