Cloudflare ชี้แจงล่มเพราะสั่งปิดกฎไฟร์วอลล์แต่โค้ดมีบั๊กพาล่มทั้งโลก
Body
Cloudflare ชี้แจงเหตุการณ์ระบบล่มในวันนี้ โดยระบุว่าเป็นผลต่อเนื่องมาจากการแก้คอนฟิกไฟร์วอลล์เพื่อป้องกันบั๊ก CVE-2025-55182 ที่สามารถโจมตีเว็บ React/NextJS จำนวนมาก แต่ต้นเหตุการล่มครั้งนี้ไม่ได้อยู่ที่การปล่อยกฎไฟร์วอลล์โดยตรง
กฎไฟร์วอลล์สำหรับช่องโหว่ CVE-2025-55182 จำเป็นต้องเพิ่ม request body content หรือเนื้อไฟล์เวลาไคลเอนต์สั่ง POST จากเดิม 128KB เป็น 1MB เท่าๆ กับที่ NextJS รองรับ การแก้ไขคอนฟิกครั้งนี้ทำให้เครื่องมือภายในของ Cloudflare เองตัวหนึ่งมีอัตราการทำงานผิดพลาดเพิ่มขึ้น และทีมงานก็ตัดสินใจปิดการทำงานมันทิ้งไป ซึ่งการปิดเครื่องมือนี้ก็คือการปิดกฎไฟร์วอลล์ข้อหนึ่งที่ทำหน้าที่เรียกเครื่องมือนี้มาใช้งาน
ปกติแล้วกฎไฟร์วอลล์ที่เราเห็นกันจะมี 3 ประเภท ได้แก่
เหตุการณ์ผิดพลาดครั้งนี้เกิดจากระบบปิดกฎไฟร์วอลล์แบบเร่งด่วน (killswitch) จะกระจายคอนฟิกไปทั่วโลกทันทีโดยไม่ต้องรอทดสอบทีละวงแบบตอนเพิ่มกฎไฟร์วอลล์ และกระบวนการ killswitch นี้ไม่เคยถูกใช้กับกฎชนิด
ทาง Cloudflare ระบุว่าหลังจากนี้จะปล่อยคอนฟิกเป็นวงๆ แบบเดียวกันทั้งการติดตั้งกฎไฟร์วอลล์ใหม่และการถอนออก และจะปรับกระบวนการจัดการความผิดพลาดให้ถอยกลับไปยังคอนฟิกที่ยังทำงานได้เองโดยอัตโนมัติ
ที่มา - Cloudflare
lew Fri, 05/12/2025 - 23:12
Continue reading...
Body
Cloudflare ชี้แจงเหตุการณ์ระบบล่มในวันนี้ โดยระบุว่าเป็นผลต่อเนื่องมาจากการแก้คอนฟิกไฟร์วอลล์เพื่อป้องกันบั๊ก CVE-2025-55182 ที่สามารถโจมตีเว็บ React/NextJS จำนวนมาก แต่ต้นเหตุการล่มครั้งนี้ไม่ได้อยู่ที่การปล่อยกฎไฟร์วอลล์โดยตรง
กฎไฟร์วอลล์สำหรับช่องโหว่ CVE-2025-55182 จำเป็นต้องเพิ่ม request body content หรือเนื้อไฟล์เวลาไคลเอนต์สั่ง POST จากเดิม 128KB เป็น 1MB เท่าๆ กับที่ NextJS รองรับ การแก้ไขคอนฟิกครั้งนี้ทำให้เครื่องมือภายในของ Cloudflare เองตัวหนึ่งมีอัตราการทำงานผิดพลาดเพิ่มขึ้น และทีมงานก็ตัดสินใจปิดการทำงานมันทิ้งไป ซึ่งการปิดเครื่องมือนี้ก็คือการปิดกฎไฟร์วอลล์ข้อหนึ่งที่ทำหน้าที่เรียกเครื่องมือนี้มาใช้งาน
ปกติแล้วกฎไฟร์วอลล์ที่เราเห็นกันจะมี 3 ประเภท ได้แก่
block, log, และ skip แต่ที่จริงแล้วภายใน Cloudflare มีประเภท execute สำหรับการเรียกกฎอื่นๆ ขึ้นมาทำงานด้วยเหตุการณ์ผิดพลาดครั้งนี้เกิดจากระบบปิดกฎไฟร์วอลล์แบบเร่งด่วน (killswitch) จะกระจายคอนฟิกไปทั่วโลกทันทีโดยไม่ต้องรอทดสอบทีละวงแบบตอนเพิ่มกฎไฟร์วอลล์ และกระบวนการ killswitch นี้ไม่เคยถูกใช้กับกฎชนิด
execute มาก่อน เมื่อทาง Cloudflare สั่งปิดกฎนี้ก็ทำให้โค้ด Lua ที่มีบั๊กถูกกระตุ้นขึ้นมา เกิด Lua runtime error จนแสดงเป็นหน้า 500ทาง Cloudflare ระบุว่าหลังจากนี้จะปล่อยคอนฟิกเป็นวงๆ แบบเดียวกันทั้งการติดตั้งกฎไฟร์วอลล์ใหม่และการถอนออก และจะปรับกระบวนการจัดการความผิดพลาดให้ถอยกลับไปยังคอนฟิกที่ยังทำงานได้เองโดยอัตโนมัติ
ที่มา - Cloudflare
lew Fri, 05/12/2025 - 23:12
Continue reading...