Sicherheitshinweise

Use After Free flaw in Lucet-runtime

29. November 2021

On November 11th 2021, Fastly Engineering received alerts related to segmentation faults on Compute@Edge. A Fastly investigation into CVE-2021-43790, a bug in Lucet, a dependency of Compute@Edge, is disclosed in a recent Bytecode Alliance security advisory. Fastly investigations have not identified additional impact outside of the single case disclosed in this advisory.

It's our goal in this Fastly Security Advisory to illustrate our knowledge about the bug discovered and the actions we have taken to prevent further possible impact to our customers.

Speicherzugriff aufgrund eines Fehlers bei der Codegenerierung im Cranelift Modul

21. Mai 2021

Der im Cranelift x64-Backend identifizierte Fehler führt eine Vorzeichenerweiterung anstelle einer Nullerweiterung für einen vom Stack geladenen Wert durch, wenn der Register-Allokator einen ganzzahligen Wert-Spill mit weniger als 64 Bit neu lädt. Dies wirkt sich negativ auf eine andere Optimierung aus: Der Befehlsselektor lässt einen Zero-Extend-Operator mit 32 bis 64 Bit aus, wenn wir aber doch wissen, dass ein Befehl, der einen 32-Bit-Wert erzeugt, die oberen 32 Bit des Zielregisters tatsächlich auf Null setzt. Daher verlässt sich der x64-Compiler auf diese auf Null gesetzten Bits, aber der Wertetyp ist immer noch i32 und der Spill/Reload stellt diese Bits als Vorzeichenerweiterung des MSB von i32 wieder her.

Fehlerhafte Zustellung eines Log\-Abschnitts

3. September 2020

Am 29. Juli um 00:00 Uhr UTC wurde Fastly von einem Kunden (Kunde X) gemeldet, dass eine einzelne Protokollzeile, die für einen anderen Kunden (Kunde Y) bestimmt war, im Protokollsystem des Kunden X gelandet war. Fastly begann sofort mit der Untersuchung und stellte fest, dass bei einem komplexen Zusammentreffen von Umständen eine Log-Zeile an einen verkehrten Logging-Service geleitet werden kann. Wir konnten die Ursache auf einen Fehler in der Programmlogik zurückführen, die von Fastly zur Verbesserung der Leistung im April 2012 eingeführt worden war. Dieser einmalige Bericht eines Kunden ist der einzige Fall in acht Jahren, der Fastly bekannt ist, in dem alle erforderlichen Umstände zur gleichen Zeit zusammen kamen.

Fastly Sicherheitshinweis: Cache\-Poisoning\-Schwachstelle durch Ausnutzung des X\-Forwarded\-Host\-Headers

5. August 2020

Fastly wurde am 21. Mai 2020 um 13:30 Uhr UTC über das Problem informiert. Fastly hat daraufhin sofort eine Untersuchung eingeleitet und identifiziert, welche Origin-Server mit einer Testportnummer in der Redirect-Antwort antworteten, um nach der Schwachstelle und möglichen Lösungen zu suchen. Nach der Untersuchung benachrichtigte Fastly potenziell betroffene Kunden erstmals am 15. Juli 2020 um 04:30 Uhr UTC.

Diese Schwachstelle ist eine Variante einer bereits früher gemeldeten Schwachstelle und letztlich das Ergebnis der Zusammensetzung von cachefähigen Origin-Antworten auf der Basis von nutzerdefinierten Daten. Das Problem tritt auf, wenn ein Angreifer eine HTTPS-Anfrage stellt und im Host-Header eine Portnummer angibt, die eigentlich für keine Services verwendet wird. Es ist möglich, eine Ressource so zu cachen, dass zukünftige Anfragen nicht mehr korrekt bearbeitet werden können.

Falsches Service\-Routing bei HTTP/2\-Client\-Verbindungen

14. November 2019

Am 11. November 2019 um 21:57 Uhr UTC hat Fastly einen neuen Build seiner HTTP/2-Terminierungssoftware auf zwei Fastly Cache-Servern im Rechenzentrum in Minneapolis-St.Paul (STP) bereitgestellt. Diese Build enthielt einen Verarbeitungsfehler, der die Wiederverwendung von Verbindungen zwischen internen Fastly Systemen betraf (unabhängig vom HTTP/2-Multiplexing) und dazu führte, dass einige eingehende HTTP/2-Anfragen für Services von Fastly Kunden eventuell fälschlicherweise an eine Gruppe von bis zu 20 verschiedenen Services und Origin-Servern von Fastly Kunden weitergeleitet wurden. Dies führte dazu, dass einige Client-Anfragedaten an verkehrte Origin-Server von Kunden gesendet und eine Antwort von diesen verkehrten Origin-Servern zurückgesendet wurde. Die Kunden, auf deren Origin-Servern diese Anfragen fälschlicherweise eingingen, haben diese verkehrt weitergeleiteten Anfragedaten möglicherweise geloggt.

Fastly wurde erstmals am 12. November 2019 um 23:07 Uhr UTC von einem Kunden über einen Client-Fehler informiert. Am 13. November 2019, um 00:50 Uhr UTC, wurde der gesamte Kunden-Traffic des betroffenen Rechenzentrums umgeleitet. Fastly hat sofort eine Untersuchung eingeleitet und am 14. November 2019 um 00:31 Uhr UTC das Vorhandensein von falsch gerouteten Anfragedaten in den Logs eines Kunden bestätigt.

Wir schätzen, dass dieser Fehler in dem Zeitraum von 27 Stunden 0,00016 % des weltweiten Anfrage-Traffics betraf. Es ist unwahrscheinlich, dass die betroffenen Client-Anfragen von außerhalb Nordamerikas kamen.

Da Fastly keine Kundenlogdaten speichert, können wir nicht mit Sicherheit sagen, ob eine betroffene Anfrage falsch weitergeleitet wurde.

Cache\-Poisoning durch Ausnutzung verschiedener X\-Header

13. August 2018

Am Donnerstag, den 9. August, wurden auf der „Black Hat USA 2018“-Konferenz Forschungsergebnisse zu Cache-Poisoning-Angriffen auf Websites veröffentlicht, die hinter einer Caching-Infrastruktur betrieben werden. Bei diesen Angriffen konnten Angreifer beliebige Inhalte in den Cache eines Opfers injizieren.

Fastly Servicekonfigurationen, die die Interaktion zwischen Headern, die Backends zur Auswahl von Inhalten verwenden, nicht berücksichtigen, können anfällig sein. Dieses Risiko kann durch einen VCL-Patch oder durch die Änderung von Backend-Konfigurationen komplett abgewehrt werden.

Schwachstelle in der Linux\-Kernel\-TCP\-Implementierung

6. August 2018

Am 6. August 2018 wurde eine Schwachstelle in der Linux-Kernel-TCP-Implementierung, genannt SegmentSmack, öffentlich bekannt gegeben. Diese Schwachstelle ermöglichte es einem entfernten Angreifer, einen Denial-of-Service-Angriff auf einen Zielserver auszuführen, indem er einfach eine TCP-Verbindung zum Server herstellte und bestimmte Segmente über diese Verbindung sendete.

Wir haben bereits vor dieser Bekanntmachung mit der Sicherheitsgemeinschaft zusammengearbeitet, um diese Schwachstelle in unseren Edge-Netzwerken zu beheben. Sie stellen für Fastly Kunden keine Gefahr dar.

Schwachstelle in modernen Prozessoren

9. Januar 2018

Am Mittwoch, den 3. Januar, wurden Untersuchungen zu einer Art von Schwachstellen veröffentlicht, die bestimmte Prozessoren betreffen. Diese Schwachstellen könnten es einem Nutzer, der in der Lage ist, Code auf einem System ausführen, ermöglichen, über Sicherheitsgrenzen hinweg unbefugten Zugriff auf Informationen zu erlangen.

Fastly hat eine erste Analyse dieser Schwachstellen abgeschlossen und glaubt nicht, dass sie eine unmittelbare Bedrohung für Fastly Kunden darstellen.

Offenlegung des Textes für andere Services von Fastly anfordern

8. Januar 2018

Vom 31. August bis zum 4. November setzte Fastly eine Version von Varnish ein, die einen Sicherheitsfehler enthielt, der in einem begrenzten und nicht standardisierten Konfigurationssatz Anfragetexte an Origin-Server anderer Kunden weitergab. In diesen Fällen wäre ein Anfragetext, der an den Service eines betroffenen Fastly Kunden geschickt wurde, in einer fehlerhaften Anfrage an den Origin-Server eines anderen Kunden enthalten gewesen, die möglicherweise in den Zugriffslogs dieses Origin-Webservers aufgezeichnet wurde.

Fastly hat eine umfassende Bewertung durchgeführt, um herauszufinden, welche Kunden am ehesten von diesem Problem betroffen sind. Diese Kunden wurden direkt von Fastly Customer Engineering kontaktiert.

Schwachstelle im Fastly Open\-Source\-CDN\-Modul, das in Magento2 integriert werden soll

12. September 2017

Während der Untersuchung eines Kundenberichts bemerkte Fastly eine Schwachstelle (CVE-2017-13761) im Fastly CDN-Modul, das in Magento2 integriert werden soll, und hat diese behoben. Dabei handelt es sich um Open Source Code, den Fastly freigibt, um eine einfache Integration mit den Produkten seiner Partner zu ermöglichen. Alle Versionen vor 1.2.26 sind betroffen und Kunden werden gebeten, ein Upgrade durchzuführen.

Fastly hat sich direkt an die Kunden gewandt, die derzeit betroffene Versionen des Moduls verwenden.

Behoben: Fastly „forward secrecy“\-Schwachstelle

16. November 2016

Am Montag, den 14. November 2016, veröffentlichten Sicherheitsexperten einen Artikel mit dem Titel „Measuring the Security Harm of TLS Crypto Shortcuts“. Neben anderen Erkenntnissen über die TLS-Implementierung an mehreren Standorten, wurde in dem Artikel festgestellt, dass Fastly die TLS-Sitzungstickets nicht oft wechselt, was die Wirksamkeit der Forward Secrecy einschränkt.

Obwohl Fastly nicht direkt von den Forschern kontaktiert wurde, war es schon vorher auf das Problem aufmerksam gemacht worden und die Schwachstelle wurde am Freitag, den 11. November, korrigiert. Kunden brauchen nichts zu unternehmen, um von dem Fix zu profitieren.

Weitreichender DynDNS\-Ausfall, der bei Fastly Kunden für Probleme sorgt

21. Oktober 2016

Am 21. Oktober 2016 kam es bei Dyn, einem großen Managed-DNS-Anbieter, zu einem DDoS-Angriff, der zu Ausfällen führte, die sich auf mehrere große Websites, einschließlich der Fastly Infrastruktur (wie das Fastly Control Panel und die API) und Fastly Kunden, auswirkten.

Wir haben mit unseren zusätzlichen Managed-DNS-Anbietern zusammengearbeitet, um die Verfügbarkeit während des Vorfalls sicherzustellen. Das hat die Auswirkungen für Fastlys Kunden gemildert.

Melden Sie sich für die Sicherheitshinweise an.

Mit der Übermittlung Ihrer Anfrage erklären Sie sich damit einverstanden, dass Ihre personenbezogenen Daten zur Verarbeitung gemäß unserer Datenschutzrichtlinie an Fastly in den USA übermittelt werden.