Connexion
Cloudflare tombe en panne en intervenant sur une faille critique
Ce matin, sur la Toile, il était plus probable que d’habitude de tomber sur des erreurs 500.
En cause, un problème chez Cloudflare. Sans commune mesure, néanmoins, avec l’incident du 18 novembre ; en tout cas par sa durée : moins d’une heure*.
L’entreprise en a d’abord attribué la cause à une mise à jour de son WAF. L’objectif, a-t-elle expliqué, était d’atténuer la vulnérabilité React rendue publique la semaine dernière.
À la racine, un problème de journalisation
Cette vulnérabilité, on ne peut plus critique (score CVSS : 10), se trouve dans les composants serveur React. Plus précisément au niveau de la logique qui permet à un client d’appeler ces composants. Par un traitement non sécurisé des entrées, elle ouvre la voie à l’exécution distante de code sans authentification. Les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 des packages react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack sont touchées.
À défaut de pouvoir agir directement sur ces packages, Cloudflare avait déployé, le 2 décembre, une règle WAF. « Un simple pansement », avait rappelé son CTO, ayant constaté l’émergence de variantes de l’exploit.
Concernant l’incident de ce matin, l’intéressé a apporté une précision, en attendant un compte rendu plus détaillé : le problème est né d’une désactivation de journalisation destinée à atténuer les effets de la vulnérabilité…
* Ticket ouvert à 9 h 56. Déploiement du correctif officialisé à 10 h 12. Incident considéré comme résolu à 10 h 20.
Illustration © Hywards – Shutterstock
The post Cloudflare tombe en panne en intervenant sur une faille critique appeared first on Silicon.fr.
