Sicherheitshinweise

Einsatzbereich

Dieser Sicherheitshinweis gilt für die Kunden, deren Fastly Services zwischen dem 31. August und dem 4. November 2017 Daten in Anfragetexten mittels GET- und/oder HEAD-Methoden erhalten haben. Wenn das nicht der Fall war, trifft dies nicht auf Sie zu.

Zusammenfassung

Vom 31. August bis zum 4. November setzte Fastly eine Version von Varnish ein, die einen Sicherheitsfehler enthielt, der in einem begrenzten und nicht standardisierten Konfigurationssatz Anfragetexte an Origin-Server anderer Kunden weitergab. In diesen Fällen wäre ein Anfragetext, der an den Service eines betroffenen Fastly Kunden geschickt wurde, in einer fehlerhaften Anfrage an den Origin-Server eines anderen Kunden enthalten gewesen, die möglicherweise in den Zugriffslogs dieses Origin-Webservers aufgezeichnet wurde.

Dieses Problem betraf ein ungewöhnliches Szenario: Kunden, deren Services GET- oder HEAD-Anfragen durch Anfragetexte erhielten. Nach RFC 7231 Abschnitt 4.3.1, sind Webserver nicht verpflichtet, eine GET- oder HEAD-Anfrage mit einem Text als gültige Anfrage zu behandeln. Diese Art von Anfragen werden nicht im Rahmen des normalen Surfverhaltens im Internet verschickt. In dem meisten Fällen, die wir beobachtet haben, ähnelten sie fehlerhaften Anfragen oder Bot-Verkehr.

Kunden waren möglicherweise betroffen, wenn die von ihnen erstellten nutzerdefinierten Clients solche Anfragen übermittelt haben. Fastly hat diese Anfragen in der Vergangenheit nicht unterstützt, wodurch das genannte Szenario unwahrscheinlich wird. Die weitergegebenen Daten bestanden in allen Fällen aus Anfragetexten und enthielten keine Anfrage-Headers (wie Cookies) oder Antworten.

Fastly hat eine umfassende Bewertung durchgeführt, um herauszufinden, welche Kunden am ehesten von diesem Problem betroffen sind. Diese Kunden wurden direkt von Fastly Customer Engineering kontaktiert.

Auswirkungen

Wenn die im Abschnitt „Zusammenfassung“ beschriebenen spezifischen Kriterien erfüllt waren, konnten Anfragetexte potenziell weitergegeben werden, indem der gesamte oder ein Teil des Anfragetextes einer Anfrage vorangestellt wurde, die für den Origin-Server eines anderen Kunden bestimmt war. Dort wäre sie als fehlerhafte Anfrage zurückgewiesen und möglicherweise in den Zugriffslogs des Origin-Webservers erfasst worden, je nach Konfiguration des Servers.

Fix

Die Implementierung einer korrigierten Version von Varnish, die das Problem vollständig behebt, wurde am 4. November 2017 um 14:46 Uhr UTC abgeschlossen. Diese Version wurde als Teil einer Korrekturmaßnahme eines vermeintlich reinen Zuverlässigkeitsproblems implementiert. Danach waren keine Anfragen mehr von dieser Schwachstelle betroffen.

Eine Post-Mortem-Untersuchung durch das Fastly Sicherheitsteam am 17. November ergab, dass dieses Problem zu einer Weitergabe von Daten geführt haben könnte. Um herauszufinden, in welchen Szenerien diese begrenzte Weitergabe stattgefunden haben könnte, hat Fastly eine Testumgebung mit der betroffenen Version erstellt und individuelle Kundenkonfigurationen validiert, die zu dem erweiterten Zeitrahmen dieses Ereignisses geführt haben.

Die genaue Ursache und Auswirkung wurde am 8. Dezember 2017 ermittelt, was zur Veröffentlichung dieses Sicherheitshinweises führte. Kunden brauchen keine Maßnahmen zur Behebung dieses Problems zu ergreifen, da es am 4. November 2017 vollständig behoben wurde.

Weitere Informationen

Wenn Sie weitere Fragen haben, wenden Sie sich bitte an Fastly Customer Engineering.