漏洞6个月未修补，谷歌云全球宕机2小时

据国外媒体报道，全球最大的云服务提供商之一谷歌云（Google Cloud）于当地时间11月16日出现了宕机，导致许多依赖于谷歌云的大型公司网站中断服务。

其中包括家得宝、Spotify等公司都接到用户关于服务中断的反馈，同时用户还报告了Etsy和Snap的也发生网络故障。此外本次宕机对谷歌自家服务影响颇深，YouTube、Gmail、Google Search均停止了工作。

Google云发言人在随后的一份声明中表示，该公司已经意识到其平台出现的问题，并补充说该故障的细节已经公布在状态网页，该网站已经详细报告了网络问题以及修复时间。

11 月 22 日，谷歌官方发布了本次宕机调查结果。谷歌表示此次宕机时长 1 小时 53 分钟，从2021 年 11 月 16 日 09:34开始，到11:28结束。受影响的服务和功能包括：谷歌云网络、谷歌应用引擎等。

据悉此事件是谷歌云用户错误配置外部代理负载平衡 (GCLB) 所导致。该漏洞 6 个月前被引入，极少数情况下，该漏洞允许损坏的配置文件被推送到 GCLB。

实际上早在 11 月 12 日，一位 Google 工程师就发现此漏洞。但是谷歌官方认为该漏洞已经存在 6 个月了，他们仅将其定为内部高优先级事故。同时谷歌官方为降低风险，计划以可控方式推出修复程序，而不是当天发布紧急补丁。为此他们开发了两个补丁：补丁 A 关闭了竞争条件漏洞，补丁 B 向接收配置的二进制文件添加了额外的输入验证，以防止它接受新配置。

令人意外的是，谷歌官方原计划两个补丁于 11 月 15 日逐步推出，但在11 月 16 日，补丁 A 刚刚推出30 分钟，竞争条件漏洞就出现在未打补丁的集群中，开启了服务中断。此外，即使补丁 B 防止了测试期间观察到的输入错误，然而在实际配置中却产生了不同形式的错误，导致补丁 B 没有完全修复上述漏洞。

据谷歌公布的调查报告显示，谷歌工程师通过回滚到最后一个已知的良好配置版本来缓解该问题。为了避免再次发生风险，谷歌工程师还在 GCLB 中暂停了客户发起的配置更改。此外，谷歌工程师还添加了额外的警报，这些保护措施在应用配置之前就可自动检查，从而确保云服务安全。

最后谷歌官方还对本次宕机事件进行了道歉，并确保以后不再发生此类问题。

众所周知近年来互联网巨头宕机事件可谓是频频发生，就谷歌而言这并不是谷歌第一次宕机。据了解 2019年，Google就曾出现过全球性宕机4小时的情况。而在2020年，Google服务器在5个月内连续发生3次全球大规模宕机，导致数十亿人受影响。

那么我们普通人如何面对这些宕机故障呢？对于普通网民而言，只有平时做好资料备份，在互联网发生故障时，我们才能把损失降至最低。

参考链接：

• https://www.theregister.com/2021/11/23/google_outage/
• https://status.cloud.google.com/incidents/6PM5mNd43NbMqjCZ5REh