文章

2026 年 1 月 22 日，Cloudflare 位于迈阿密的数据中心发生了 BGP 路由泄露。该事件由旨在删除特定前缀列表的自动化配置更改触发；然而，生成的 JunOS 策略变得过于宽松，匹配了所有“内部”路由类型并将其通告给外部 BGP 邻居。这导致来自 Meta 等对等节点的 IPv6 流量通过 Cloudflare 的迈阿密基础设施流向 Lumen 等传输提供商。此次泄露导致骨干网拥塞、延迟增加和丢包，约有 12Gbps 的流量被安全过滤器丢弃。Cloudflare 通过手动回滚配置解决了该问题，并承诺实施基于社区的防护措施、CI/CD 策略评估，并采用 RFC9234 和 ASPA 以防止未来再次发生类似事件。

本文详细介绍了在 Cloudflare 的 ACME（自动证书管理环境）验证逻辑中发现的一个安全漏洞。该缺陷存在于边缘网络处理 HTTP-01 挑战请求的方式中。为了防止 WAF 干扰合法的证书续期，Cloudflare 的系统被设计为对匹配 '/.well-known/acme-challenge/*' 路径的请求绕过安全规则。然而，一个逻辑错误导致带有与其他区域（Zone）相关联令牌的请求也能绕过 WAF 并继续前往客户的源服务器。Cloudflare 随后部署了一个补丁，确保仅当请求与特定主机名的有效且本地管理的挑战令牌匹配时，才会禁用 WAF 功能。