Alle Blogposts
Seite 17
-
Falsches Service-Routing bei HTTP/2-Client-Verbindungen
Fastly Security Research Team, Das Fastly Security Technical Account Management Team
Am 11. November 2019 um 21:57 Uhr UTC hat Fastly einen neuen Build seiner HTTP/2-Terminierungssoftware auf zwei Fastly Cache-Servern im Rechenzentrum in Minneapolis-St.Paul (STP) bereitgestellt. Diese Build enthielt einen Verarbeitungsfehler, der die Wiederverwendung von Verbindungen zwischen internen Fastly Systemen betraf (unabhängig vom HTTP/2-Multiplexing) und dazu führte, dass einige eingehende HTTP/2-Anfragen für Services von Fastly Kunden eventuell fälschlicherweise an eine Gruppe von bis zu 20 verschiedenen Services und Origin-Servern von Fastly Kunden weitergeleitet wurden. Dies führte dazu, dass einige Client-Anfragedaten an verkehrte Origin-Server von Kunden gesendet und eine Antwort von diesen verkehrten Origin-Servern zurückgesendet wurde. Die Kunden, auf deren Origin-Servern diese Anfragen fälschlicherweise eingingen, haben diese verkehrt weitergeleiteten Anfragedaten möglicherweise geloggt. Fastly wurde erstmals am 12. November 2019 um 23:07 Uhr UTC von einem Kunden über einen Client-Fehler informiert. Am 13. November 2019, um 00:50 Uhr UTC, wurde der gesamte Kunden-Traffic des betroffenen Rechenzentrums umgeleitet. Fastly hat sofort eine Untersuchung eingeleitet und am 14. November 2019 um 00:31 Uhr UTC das Vorhandensein von falsch gerouteten Anfragedaten in den Logs eines Kunden bestätigt. Wir schätzen, dass dieser Fehler in dem Zeitraum von 27 Stunden 0,00016 % des weltweiten Anfrage-Traffics betraf. Es ist unwahrscheinlich, dass die betroffenen Client-Anfragen von außerhalb Nordamerikas kamen. Da Fastly keine Kundenlogdaten speichert, können wir nicht mit Sicherheit sagen, ob eine betroffene Anfrage falsch weitergeleitet wurde.
Security -
Fastly stellt SOC 2 Typ 2 für die gesamte Plattform bereit | Fastly
Brandon Hsieh
Hier bei Fastly sind wir uns bewusst, dass unsere Edge-Cloud-Plattform eine Erweiterung Ihrer kritischen Infrastruktur und Datenströme darstellt. Sie fragen sich also möglicherweise zu Recht, wie wir die Daten, die Sie mit uns teilen, schützen und wie wir Ihnen dabei helfen, Ihre Sicherheits- und Compliance-Verpflichtungen zu erfüllen. Vertrauenswürdigkeit und Transparenz sind Teil unserer Grundwerte. Unseren Kunden solche Fragen zu beantworten gehört für uns also einfach mit dazu. So freuen wir uns, Ihnen heute mitteilen zu können, dass Fastly eine Service-Organization-Control-2-Prüfung (SOC-2-Prüfung) des Typs 2 für die Verwaltung und Sicherung unserer Edge-Cloud-Plattform abgeschlossen hat.
-
Cache-Poisoning durch Ausnutzung verschiedener X-Header
Fastly Security Research Team, Das Fastly Security Technical Account Management Team
Am Donnerstag, dem 9. August, wurden auf der „Black Hat USA 2018“-Konferenz Forschungsergebnisse zu Cache-Poisoning-Angriffen auf Websites veröffentlicht, die hinter einer Caching-Infrastruktur betrieben werden. Bei diesen Angriffen konnten Angreifer beliebige Inhalte in den Cache eines Opfers injizieren. Fastly Servicekonfigurationen, die die Interaktion zwischen Headern, die Backends zur Auswahl von Inhalten verwenden, nicht berücksichtigen, können anfällig sein. Dieses Risiko kann durch einen VCL-Patch oder durch die Änderung von Backend-Konfigurationen komplett abgewehrt werden.
Security -
Schwachstelle in der Linux-Kernel-TCP-Implementierung
Fastly Security Research Team, Das Fastly Security Technical Account Management Team
Am 6. August 2018 wurde eine Schwachstelle in der Linux-Kernel-TCP-Implementierung, genannt SegmentSmack, öffentlich bekannt gegeben. Diese Schwachstelle ermöglichte es einem entfernten Angreifer, einen Denial-of-Service-Angriff auf einen Zielserver auszuführen, indem er einfach eine TCP-Verbindung zum Server herstellte und bestimmte Segmente über diese Verbindung sendete. Wir haben bereits vor dieser Bekanntmachung mit der Sicherheitsgemeinschaft zusammengearbeitet, um diese Schwachstelle in unseren Edge-Netzwerken zu beheben. Sie stellen für Fastly Kunden keine Gefahr dar.
Security -
Schwachstelle in modernen Prozessoren
Fastly Security Research Team, Das Fastly Security Technical Account Management Team
Am Mittwoch, den 3\. Januar, wurden Untersuchungen zu einer Art von Schwachstellen veröffentlicht, die bestimmte Prozessoren betreffen. Diese Schwachstellen könnten es einem Nutzer, der in der Lage ist, Code auf einem System ausführen, ermöglichen, über Sicherheitsgrenzen hinweg unbefugten Zugriff auf Informationen zu erlangen. Fastly hat eine erste Analyse dieser Schwachstellen abgeschlossen und glaubt nicht, dass sie eine unmittelbare Bedrohung für Fastly Kunden darstellen.
Security -
Offenlegung des Textes für andere Services von Fastly anfordern
Fastly Security Research Team, Das Fastly Security Technical Account Management Team
Vom 31\. August bis zum 4\. November setzte Fastly eine Version von Varnish ein, die einen Sicherheitsfehler enthielt, der in einem begrenzten und nicht standardisierten Konfigurationssatz Anfragetexte an Origin\-Server anderer Kunden weitergab. In diesen Fällen wäre ein Anfragetext, der an den Service eines betroffenen Fastly Kunden geschickt wurde, in einer fehlerhaften Anfrage an den Origin\-Server eines anderen Kunden enthalten gewesen, die möglicherweise in den Zugriffslogs dieses Origin\-Webservers aufgezeichnet wurde. Fastly hat eine umfassende Bewertung durchgeführt, um herauszufinden, welche Kunden am ehesten von diesem Problem betroffen sind. Diese Kunden wurden direkt von Fastly Customer Engineering kontaktiert.
Security -
CDNs und Caching im Vergleich: Was ist der Unterschied?
Rogier Mulhuijzen
CDNs und Caching werden oft miteinander verwechselt. Erfahren Sie mehr über die Unterschiede, um eine Entscheidung treffen zu können, welches von beiden Ihnen zu einer optimalen Web-Performance verhilft.
PerformanceEntwicklung -
Behoben: Fastly „forward secrecy“-Schwachstelle
Fastly Security Research Team, Das Fastly Security Technical Account Management Team
Am Montag, dem 14. November 2016, veröffentlichten Sicherheitsexperten einen Artikel mit dem Titel „Measuring the Security Harm of TLS Crypto Shortcuts“. Neben anderen Erkenntnissen über die TLS-Implementierung an mehreren Standorten, wurde in dem Artikel festgestellt, dass Fastly die TLS-Sitzungstickets nicht oft wechselt, was die Wirksamkeit der Forward Secrecy einschränkt. Obwohl Fastly nicht direkt von den Forschern kontaktiert wurde, war es schon vorher auf das Problem aufmerksam gemacht worden und die Schwachstelle wurde am Freitag, den 11. November, korrigiert. Kunden brauchen nichts zu unternehmen, um von dem Fix zu profitieren.
Security -
Weitreichender DynDNS-Ausfall, der bei Fastly Kunden für Probleme sorgt
Fastly Security Research Team, Das Fastly Security Technical Account Management Team
Am 21. Oktober 2016 kam es bei Dyn, einem großen Managed-DNS-Anbieter, zu einem DDoS-Angriff, der zu Ausfällen führte, die sich auf mehrere große Websites, einschließlich der Fastly Infrastruktur (wie das Fastly Control Panel und die API) und Fastly Kunden, auswirkten. Wir haben mit unseren zusätzlichen Managed-DNS-Anbietern zusammengearbeitet, um die Verfügbarkeit während des Vorfalls sicherzustellen. Das hat die Auswirkungen für Fastlys Kunden gemildert.
Security -
GlobalSign TLS-Zertifikatswiderrufsfehler
Fastly Security Research Team, Das Fastly Security Technical Account Management Team
Am 13. Oktober 2016 gegen 11:10 Uhr GMT traten bei Nutzern, die Websites mit GlobalSign TLS Zertifikaten besuchten – darunter auch einige, die von Fastly gehostet wurden – Fehler bei der TLS-Zertifikatvalidierung auf. Dieses Problem wurde durch falsche Zertifikatswiderrufsinformationen verursacht, die von unserem Zertifikatanbieter, GlobalSign, veröffentlicht wurden. Dieser Sicherheitshinweis beschreibt die Ursache dieses Problems und die Maßnahmen, die Fastly ergriffen hat, um die Auswirkungen bei den Kunden zu begrenzen.
Security -
Beacon-Terminierung auf der Edge
Hooman Beheshti
Die Verwendung eines CDNs für die Beacon-Terminierung auf der Edge hat viel Aufmerksamkeit erregt – teils, weil es sich dabei um eine tolle Sache handelt, aber vor allem, weil Beaconing-Anwendungen immer beliebter werden und viele Komponenten umfassen, die in großem Maßstab bereitgestellt werden, um eine adäquate Datenerfassung zu ermöglichen.
Performance -
Schwachstelle bei der Verwendung von HTTP_PROXY durch CGI
Fastly Security Research Team, Das Fastly Security Technical Account Management Team
Am Montag, dem 18\. Juli 2016, veröffentlichten Sicherheitsexperten Informationen über eine Schwachstelle im Umgang mit der Umgebungsvariable HTTP_PROXY durch bestimmte CGI-Skripte (Common Gateway Interface). Obwohl Fastly nicht von dieser Schwachstelle betroffen ist, können Webserver, die als Origin-Server verwendet werden, eine Vielzahl von Skripten ausführen, von denen einige anfällig sein können. In diesem Sicherheitshinweis erfahren Sie, wie Sie Ihre Origin-Server vor Angriffen schützen können.
-
Warum mehr POPs nicht immer besser sind
Simon Wistow
Wir werden häufig gefragt, warum eine größere Anzahl an POPs ein CDN nicht unbedingt schneller macht. Zur Veranschaulichung hier ein Vergleich zwischen Convenience Stores und Supermärkten.
Performance+ 3 mehr -
DROWN-Angriff und Fastly
Fastly Security Research Team, Das Fastly Security Technical Account Management Team
Zusammen mit einem OpenSSL-Sicherheitshinweis haben heute verschiedene Forscher eine neue Art von Angriff auf HTTPS bekannt gegeben, den sie „Decrypting RSA with Obsolete and Weakened Encryption“ oder auch DROWN, nennen. Aufgrund der bestehenden TLS-Konfiguration von Fastly sind unsere Services und Kunden, die Fastly als CDN nutzen, nicht anfällig für diesen Angriff.
-
Absicherung von Edge-To-Origin TLS
Fastly Security Research Team, Das Fastly Security Technical Account Management Team
Wir haben ein Problem in unserer Standard-TLS-Konfiguration (Transport Layer Security) behoben, das eine ordnungsgemäße Zertifikat-Validierung bei der Verbindung zu Origin-Servern von Kunden verhinderte. Services, die nach dem 6. September 2015 erstellt wurden, waren nicht betroffen. Dieser Hinweis beschreibt das Problem, um unsere Kunden über die potenzielle Gefährdung, die von uns vorgenommene Korrektur und zusätzliche Verbesserungen zu informieren. Der Schweregrad dieser Schwachstelle wurde von der Fastly Sicherheitsabteilung als HOCH eingestuft.
Security -
CVE-2015-7547 Pufferüberlauf in glibc
Fastly Security Research Team, Das Fastly Security Technical Account Management Team
Am Dienstag, den 16. Februar, veröffentlichten Forscher Details über eine neue Schwachstelle in der glibc-Bibliothek, einer Standard-C-Bibliothek. Die Schwachstelle befand sich in dem Code, der zur Übersetzung von Hostnamen in IP-Adressen verwendet wurde. Prozesse, die diesen Code verwenden, sind bei Netzwerkdienstleistern, wie beispielsweise CDNs, sehr verbreitet. Fastly hat auf den betroffenen Systemen sofort ein Sicherheitsupdate implementiert. Ein Eingreifen des Kunden ist nicht erforderlich. Der Service von Fastly wurde nicht beeinträchtigt.
Security -
Die Technologie, die den Echtzeit-Journalismus anführt
Anna MacLachlan
Wir sind online aktiver als je zuvor, vor allem wenn es um den Konsum von Nachrichten geht. Wenn Sie mit Online-Medienunternehmen zusammenarbeiten, wissen Sie, dass sich die Art und Weise, wie Leser mit Nachrichten umgehen, verändert.
Performance+ 2 mehr -
Fastly Services sind nicht von FREAK betroffen
Daniel McCarney
Fastly ist nicht anfällig für Logjam. Wir bieten nur die sicherere Elliptic Curve Variante des Diffie-Hellman Key Exchange (ECDHE) und den RSA Schlüsselaustausch für Clients an, die ECDHE nicht unterstützen. Da Fastly keine exportfähigen Ciphersuite-Optionen oder die Standardversion des Diffie-Hellman Key Exchange anbietet, sind unsere Services nicht betroffen.
Security -
Was ist ein CDN und warum sollten Sie eines nutzen?
Mike Perez
Ein Content Delivery Network ermöglicht es Unternehmen, die Inhalte ihrer Website oder mobilen Anwendung in Abhängigkeit vom geografischen Standort ihrer Nutzer schneller und effizienter auszuliefern.