漏洞6个月未修补,谷歌云全球宕机2小时

据国外媒体报道,全球最大的云服务提供商之一谷歌云(Google Cloud)于当地时间11月16日出现了宕机,导致许多依赖于谷歌云的大型公司网站中断服务。

其中包括家得宝、Spotify等公司都接到用户关于服务中断的反馈,同时用户还报告了Etsy和Snap的也发生网络故障。此外本次宕机对谷歌自家服务影响颇深,YouTube、Gmail、Google Search均停止了工作。

Google云发言人在随后的一份声明中表示,该公司已经意识到其平台出现的问题,并补充说该故障的细节已经公布在状态网页,该网站已经详细报告了网络问题以及修复时间。

漏洞6个月未修补,谷歌云全球宕机2小时_第1张图片

11 月 22 日,谷歌官方发布了本次宕机调查结果。谷歌表示此次宕机时长 1 小时 53 分钟,从2021 年 11 月 16 日 09:34开始,到11:28结束。受影响的服务和功能包括:谷歌云网络、谷歌应用引擎等。

漏洞6个月未修补,谷歌云全球宕机2小时_第2张图片

据悉此事件是谷歌云用户错误配置外部代理负载平衡 (GCLB) 所导致。该漏洞 6 个月前被引入,极少数情况下,该漏洞允许损坏的配置文件被推送到 GCLB。

实际上早在 11 月 12 日,一位 Google 工程师就发现此漏洞。但是谷歌官方认为该漏洞已经存在 6 个月了,他们仅将其定为内部高优先级事故。同时谷歌官方为降低风险,计划以可控方式推出修复程序,而不是当天发布紧急补丁。为此他们开发了两个补丁:补丁 A 关闭了竞争条件漏洞,补丁 B 向接收配置的二进制文件添加了额外的输入验证,以防止它接受新配置。

令人意外的是,谷歌官方原计划两个补丁于 11 月 15 日逐步推出,但在11 月 16 日,补丁 A 刚刚推出30 分钟,竞争条件漏洞就出现在未打补丁的集群中,开启了服务中断。此外,即使补丁 B 防止了测试期间观察到的输入错误,然而在实际配置中却产生了不同形式的错误,导致补丁 B 没有完全修复上述漏洞。

据谷歌公布的调查报告显示,谷歌工程师通过回滚到最后一个已知的良好配置版本来缓解该问题。为了避免再次发生风险,谷歌工程师还在 GCLB 中暂停了客户发起的配置更改。此外,谷歌工程师还添加了额外的警报,这些保护措施在应用配置之前就可自动检查,从而确保云服务安全。

最后谷歌官方还对本次宕机事件进行了道歉,并确保以后不再发生此类问题。

众所周知近年来互联网巨头宕机事件可谓是频频发生,就谷歌而言这并不是谷歌第一次宕机。据了解 2019年,Google就曾出现过全球性宕机4小时的情况。而在2020年,Google服务器在5个月内连续发生3次全球大规模宕机,导致数十亿人受影响。

那么我们普通人如何面对这些宕机故障呢?对于普通网民而言,只有平时做好资料备份,在互联网发生故障时,我们才能把损失降至最低。

参考链接:

  • https://www.theregister.com/2021/11/23/google_outage/
  • https://status.cloud.google.com/incidents/6PM5mNd43NbMqjCZ5REh

你可能感兴趣的