Security
Seite 10 von 10
-
Offenlegung des Textes für andere Services von Fastly anfordern
Vom 31\. August bis zum 4\. November setzte Fastly eine Version von Varnish ein, die einen Sicherheitsfehler enthielt, der in einem begrenzten und nicht standardisierten Konfigurationssatz Anfragetexte an Origin\-Server anderer Kunden weitergab. In diesen Fällen wäre ein Anfragetext, der an den Service eines betroffenen Fastly Kunden geschickt wurde, in einer fehlerhaften Anfrage an den Origin\-Server eines anderen Kunden enthalten gewesen, die möglicherweise in den Zugriffslogs dieses Origin\-Webservers aufgezeichnet wurde. Fastly hat eine umfassende Bewertung durchgeführt, um herauszufinden, welche Kunden am ehesten von diesem Problem betroffen sind. Diese Kunden wurden direkt von Fastly Customer Engineering kontaktiert.
-
Behoben: Fastly „forward secrecy“-Schwachstelle
Am Montag, dem 14. November 2016, veröffentlichten Sicherheitsexperten einen Artikel mit dem Titel „Measuring the Security Harm of TLS Crypto Shortcuts“. Neben anderen Erkenntnissen über die TLS-Implementierung an mehreren Standorten, wurde in dem Artikel festgestellt, dass Fastly die TLS-Sitzungstickets nicht oft wechselt, was die Wirksamkeit der Forward Secrecy einschränkt. Obwohl Fastly nicht direkt von den Forschern kontaktiert wurde, war es schon vorher auf das Problem aufmerksam gemacht worden und die Schwachstelle wurde am Freitag, den 11. November, korrigiert. Kunden brauchen nichts zu unternehmen, um von dem Fix zu profitieren.
-
Weitreichender DynDNS-Ausfall, der bei Fastly Kunden für Probleme sorgt
Am 21. Oktober 2016 kam es bei Dyn, einem großen Managed-DNS-Anbieter, zu einem DDoS-Angriff, der zu Ausfällen führte, die sich auf mehrere große Websites, einschließlich der Fastly Infrastruktur (wie das Fastly Control Panel und die API) und Fastly Kunden, auswirkten. Wir haben mit unseren zusätzlichen Managed-DNS-Anbietern zusammengearbeitet, um die Verfügbarkeit während des Vorfalls sicherzustellen. Das hat die Auswirkungen für Fastlys Kunden gemildert.
-
GlobalSign TLS-Zertifikatswiderrufsfehler
Am 13. Oktober 2016 gegen 11:10 Uhr GMT traten bei Nutzern, die Websites mit GlobalSign TLS Zertifikaten besuchten – darunter auch einige, die von Fastly gehostet wurden – Fehler bei der TLS-Zertifikatvalidierung auf. Dieses Problem wurde durch falsche Zertifikatswiderrufsinformationen verursacht, die von unserem Zertifikatanbieter, GlobalSign, veröffentlicht wurden. Dieser Sicherheitshinweis beschreibt die Ursache dieses Problems und die Maßnahmen, die Fastly ergriffen hat, um die Auswirkungen bei den Kunden zu begrenzen.
-
Absicherung von Edge-To-Origin TLS
Wir haben ein Problem in unserer Standard-TLS-Konfiguration (Transport Layer Security) behoben, das eine ordnungsgemäße Zertifikat-Validierung bei der Verbindung zu Origin-Servern von Kunden verhinderte. Services, die nach dem 6. September 2015 erstellt wurden, waren nicht betroffen. Dieser Hinweis beschreibt das Problem, um unsere Kunden über die potenzielle Gefährdung, die von uns vorgenommene Korrektur und zusätzliche Verbesserungen zu informieren. Der Schweregrad dieser Schwachstelle wurde von der Fastly Sicherheitsabteilung als HOCH eingestuft.
-
CVE-2015-7547 Pufferüberlauf in glibc
Am Dienstag, den 16. Februar, veröffentlichten Forscher Details über eine neue Schwachstelle in der glibc-Bibliothek, einer Standard-C-Bibliothek. Die Schwachstelle befand sich in dem Code, der zur Übersetzung von Hostnamen in IP-Adressen verwendet wurde. Prozesse, die diesen Code verwenden, sind bei Netzwerkdienstleistern, wie beispielsweise CDNs, sehr verbreitet. Fastly hat auf den betroffenen Systemen sofort ein Sicherheitsupdate implementiert. Ein Eingreifen des Kunden ist nicht erforderlich. Der Service von Fastly wurde nicht beeinträchtigt.
-
Fastly Services sind nicht von FREAK betroffen
Fastly ist nicht anfällig für Logjam. Wir bieten nur die sicherere Elliptic Curve Variante des Diffie-Hellman Key Exchange (ECDHE) und den RSA Schlüsselaustausch für Clients an, die ECDHE nicht unterstützen. Da Fastly keine exportfähigen Ciphersuite-Optionen oder die Standardversion des Diffie-Hellman Key Exchange anbietet, sind unsere Services nicht betroffen.