谷歌披露 “零日” 漏洞導致 Gmail 和 YouTube 大量宕機

Google透露，其全球身份驗證系統失敗的原因是一個簡單的“零日”值，該系統阻止了對YouTube，Gmail和Google Cloud Platform服務的訪問。

周一事件發生后的第二天，Google在初步分析中說，根本原因是其自動存儲配額管理系統中存在問題，這減少了其中央身份管理系統的容量，從而又阻止了所有人訪問許多Google服務需要用戶登錄。

宕機僅持續了50分鐘，但阻止了全球數十億用戶訪問Gmail和YouTube。該事件還影響了依賴Google Cloud Platform來計算資源的公司。

Google的工程師在其完整的事件報告中描繪的圖片詳細說明了一個短暫但重大的事件，所有事件都歸結為Google用于自動為其身份驗證系統配置存儲的舊版存儲配額系統生成的“零日”漏洞。

報告稱：“作為將用戶ID服務持續遷移到新配額系統的一部分，10月份進行了更改，以在新配額系統中注冊用戶ID服務，但先前配額系統的某些部分保留了下來，但報告有誤用戶ID服務的使用為0。”

“結果，減少了帳戶數據庫的配額，這阻止了Paxos領導者進行寫操作。不久之后，大多數讀取操作已過時，從而導致身份驗證查找漏洞。”

谷歌表示，宕機是由于10月份對Google用戶ID服務所做的更改，這是向新配額系統遷移的一部分。

宕機的核心是Google用戶ID服務，該服務對每個帳戶都有唯一的標識符，并處理OAuth令牌和Cookie的身份驗證憑據。OAuth令牌用于將用戶登錄到服務，而無需用戶輸入或重新輸入密碼。

Google將此帳戶數據存儲在分布式云數據庫中，該數據庫在同意處理所需的數據值后使用Paxos協議協調更新。

Google解釋說：“出于安全考慮，此服務在檢測到過時的數據時將拒絕請求。”

“執行配額限制的現有寬限期延遲了影響，該影響最終終止，觸發了自動配額系統減少了User ID服務允許的配額并觸發了此事件。現有的安全檢查可防止許多意外的配額更改，但在他們沒有涵蓋單個服務的零報告負載的情況。”

Google還詳細介紹了對Google Cloud Storage，Google Cloud Network，Google Kubernetes Engine（GKE），Google Workspace（以前稱為G Suite）和Google Cloud支持的用戶的影響程度。

“在2020年12月14日（星期一）美國/太平洋地區從03:46到04:33，所有Google用戶帳戶的證書頒發和帳戶元數據查找失敗。因此，我們無法驗證用戶請求已通過身份驗證并在5xx錯誤上提供幾乎所有經過身份驗證的流量，” Google在針對Google Cloud Infrastructure Components事件20013的報告中說。

Google確認“在事件發生期間，所有經過身份驗證的Google Workspace應用程序都已關閉”，并且“大約有4％的GKE控制平面API請求失敗，并且幾乎所有Google管理和客戶的工作負載都無法向Cloud Monitoring報告指標。”

Google多數經過身份驗證的服務都“在所有Google Cloud Platform以及Google Workspace API和控制臺上的錯誤率均升高了”。

谷歌表示，盡管大多數服務可以快速自動恢復，但某些服務卻具有“獨特或持久的影響”。

谷歌在周二發布的對其根本原因分析的更正中指出，“所有需要通過Google帳戶登錄的服務都會受到不同程度的影響。”