ブログに戻る

フォロー&ご登録

セキュリティ

10ページ目 (10ページ中)

  • HTTP/2クライアント接続に関連した誤ったサービスルーティングについて

    Fastly セキュリティリサーチチーム, Fastly Security Technical Account Management チーム

    2019年11月11日午後9:57 UTC に、Fastly は HTTP/2終端ソフトウェアの新しいビルドを、ミネアポリス セントポール (STP) データセンターにある Fastly の2台のキャッシュサーバーにデプロイしました。このビルドには、(HTTP/2多重化に関係しない) 内部 Fastly システムの間での接続再利用に関連する処理の欠陥があり、Fastly のお客様のサービスに対する HTTP/2リクエストの一部が、最大20件の Fastly のお客様のサービスとオリジンのグループに誤ってルーティングされる可能性がありました。このため、一部のクライアントリクエストデータが、誤ったお客様のオリジンに配信され、そのお客様のオリジンからレスポンスが返されました。オリジンでこれらのリクエストを誤って受信したお客様は、誤ってルーティングされたリクエストデータを記録している可能性があります。 Fastly が最初にお客様からクライアントエラーの連絡を受けたのは、2019年11月12日午後11:07 UTC です。2019年11月13日午前12:50 UTC には、すべてのカスタマートラフィックは、影響を受けたデータセンターを迂回するようになりました。Fastly は速やかに調査を開始し、2019年11月14日午前12:31 UTC には、誤ってルーティングされたリクエストデータの存在をお客様のログで検証しました。 私たちはこの障害が、27時間の間に世界中のリクエストトラフィックのうち0.00016%に影響を与えたと推定しています。また、影響を受けたクライアントリクエストが北米以外から送信された可能性は低いです。 Fastly はお客様のログデータを格納していないため、影響を受けたリクエストが誤ってルーティングされたかどうかを断定することができません。

    セキュリティ

  • Proof of Work でクレデンシャルスタッフィング攻撃を防御しログイン時のセキュリティを守る

    Andrew Betts

    攻撃者は、漏えいしたパスワードのリストを使用してアカウントを乗っ取ろうとします。Proof of Work は攻撃を緩和するために推奨される手段です。

    セキュリティ

  • さまざまな X ヘッダーを利用するキャッシュポイズニング

    Fastly セキュリティリサーチチーム, Fastly Security Technical Account Management チーム

    8月9日 (木) に開催された Black Hat USA 2018 では、キャッシュインフラストラクチャの背後にデプロイされた Web サイトに対するキャッシュポイズニング攻撃に関するレポートが公表されました。このような攻撃では、攻撃者が任意のコンテンツを攻撃対象のキャッシュに挿入する可能性があります。 Fastly のサービスで、ヘッダー間のインタラクションを考慮せずにバックエンドがコンテンツを選択するように設定されている場合、このような攻撃に対して脆弱な場合があります。このリスクは、VCL パッチを適用するか、またはバックエンドの設定を変更することで十分に軽減できます。

    セキュリティ

  • Linux カーネルの TCP 実装における脆弱性

    Fastly セキュリティリサーチチーム, Fastly Security Technical Account Management チーム

    2018年8月6日に、Linux カーネルの TCP 実装における、SegmentSmack と呼ばれる脆弱性が公表されました。リモートの攻撃者はこの脆弱性を利用して、標的のサーバーへの TCP 接続を確立し、その接続を介して特定のセグメントを送信するだけでサーバーにサービス拒否攻撃を仕掛けることができます。 Fastly はこの公表に先立ち、セキュリティコミュニティと協力して当社のエッジネットワークにおけるこの脆弱性に対処しました。この脆弱性が Fastly のお客様に脅威をもたらすことはありません。

    セキュリティ

  • Quick Value パッケージの紹介

    Courtney Nash

    変化するビジネスや技術要件に合わせてデジタルプレゼンスを継続的に調整、最適化、および保護するには時間がかかります。そこで、Fastly ではパフォーマンス、分析、およびセキュリティにフォーカスした専門家のコンサルティングサービスとして Quick Value パッケージを提供しています。Quick Value に含まれる各パッケージでは、Fastly の専門知識を活用して変化し続ける要件や現代ビジネスの複雑性に対処し、自社の IT およびエンジニアリングリソースを解放することができます。短期間に成功をもたらし、自社チームの満足度を上げつつ、ビジネスの推進に注力することができます。

    パフォーマンス
    さらに2記事を表示

  • 最新プロセッサーにおける脆弱性

    Fastly セキュリティリサーチチーム, Fastly Security Technical Account Management チーム

    1月3日 (水) に、特定のプロセッサーに影響を及ぼす一連のセキュリティ脆弱性に関する調査が公表されました。これらの脆弱性により、システム上でコードを実行できるユーザーが、セキュリティ境界を越えて情報に不正にアクセスできる可能性があります。 Fastly はこれらの脆弱性の初期分析を完了し、これらが Fastly のお客様に直ちに脅威を与えることはないと判断しました。

    セキュリティ

  • 他の Fastly サービスへのリクエストボディの開示

    Fastly セキュリティリサーチチーム, Fastly Security Technical Account Management チーム

    8月31日から11月4日まで、Fastly はセキュリティバグを含むバージョンの Varnish をデプロイしました。このバグでは、ごく一部の非標準の設定セットで、リクエストボディが他のお客様のオリジンに開示されていました。この場合、影響を受ける Fastly のお客様のサービスに送信されたリクエストボディは、別のお客様のオリジンへの不適切なリクエストとして、そのオリジンの Web サーバーのアクセスログに記録されている可能性があります。 この問題の影響を受ける可能性が高いお客様を特定するため、Fastly は包括的な評価を実施しました。影響を受けた可能性のあるお客様には Fastly のカスタマー・エンジニアリング・チームから直接ご連絡差し上げています。

    セキュリティ

  • 解決済み : Fastly の「前方秘匿性」の脆弱性

    Fastly セキュリティリサーチチーム, Fastly Security Technical Account Management チーム

    2016年11月14日 (月)、セキュリティ研究者が『Measuring the Security Harm of Crypto Shortcuts』という論文を発表しました。この論文は、いくつかのサイトでの TLS 実装に関する他の調査結果の中で、Fastly が TLS セッションチケットのローテーションを頻繁に行っていないために前方秘匿性の有効性が制限されていると指摘しています。 Fastly は研究者からは直接連絡を受けていませんが、以前からこの問題を認識しており、この脆弱性を11月11日 (金) に解決しました。この修正を利用するためにお客様のアクションは必要ありません。

    セキュリティ

  • Fastly のお客様に影響を及ぼす広範囲な Dyn DNS の機能停止

    Fastly セキュリティリサーチチーム, Fastly Security Technical Account Management チーム

    2016年10月21日に、マネージド DNS の大手プロバイダー Dyn が分散型 DDos 攻撃を受け、Fastly のインフラストラクチャ (Fastly コントロールパネルと API など) および Fastly のお客様を含む、多くの主要 Web サイトに影響を及ぼす機能停止が発生しました。 Fastly は他のマネージド DNS プロバイダーと連携して、インシデント中の可用性を確保しました。これにより、Fastly のお客様への影響は軽減されました。

    セキュリティ

  • GlobalSign TLS 証明書失効エラー

    Fastly セキュリティリサーチチーム, Fastly Security Technical Account Management チーム

    2016年10月13日午前11時10分 (GMT) 頃、Fastly でホストされている一部の証明書を含む、GlobalSign の TLS 証明書を使用する Web サイトにアクセスするユーザーに、TLS 証明書の検証エラーが発生し始めました。この問題は、Fastly のパートナーである証明書認証局の GlobalSign によって発行された証明書失効情報が正しくないことが原因で発生しました。 このセキュリティアドバイザリでは、この問題の根本原因と、お客様への影響を制限するために Fastly が実施した対応についてご説明します。

    セキュリティ

  • 無駄のない脅威インテリジェンス第4部 : バッチアラート

    Zack Allen

    第3部では、Kafka を使用してトピックとの間でメッセージをルーティングするテクノロジーを紹介しました。このようにデータが流れている状態でモニタリングとセキュリティイベントへの対応を開始するにはどうすればよいでしょうか。この記事では、Graylog と Kafka で使用できるバッチアラート生成の手法について説明します。

    セキュリティ

  • Kafka でログの不合理性に対応

    Zack Allen

    「無駄のない脅威インテリジェンス」シリーズ第2部の基盤編では、Chef を使用してログ管理システム Graylog を構築する方法について説明しました。今回は、分析またはエンリッチ化のためにメッセージを異なるエンドポイントにルーティングできるようにする、メッセージパイプラインの作成方法について取り上げます。

    セキュリティ

  • 無駄のない脅威インテリジェンス第2部 : 基盤

    Rusty Bower, Zack Allen

    第1部では、Fastly の Threat Intelligence チームがプロジェクトを計画するのに使用する一般的なワークフローについて説明しました。調査を行ってこの領域でこれまでに何が行われてきたかを確認すると、テクノロジーの選定に進めるようになります。

    セキュリティ

  • エッジとオリジン間の TLS の強化

    Fastly セキュリティリサーチチーム, Fastly Security Technical Account Management チーム

    Fastly は、トランスポートレイヤーセキュリティ (TLS) のデフォルト設定における、お客様のオリジンサーバーに接続する際に証明書が正しく検証されない問題を修正しました。2015年9月6日以降に作成されたサービスは影響を受けていません。このアドバイザリでは、この問題について説明し、リスクにさらされる可能性、弊社が実行した修正、および実行中のその他の改善策をお客様にお知らせします。 この脆弱性には、Fastly セキュリティの重大度「高」が割り当てられています。

    セキュリティ

  • CVE-2015-7547 glibc にバッファーオーバーフローの脆弱性

    Fastly セキュリティリサーチチーム, Fastly Security Technical Account Management チーム

    2月16日 (火) に、研究者が標準 C ライブラリである glibc ライブラリの新しい脆弱性の詳細を公開しました。この脆弱性は、ホスト名を IP アドレスに変換するために使用されるコードに存在しました。これを使用したプロセスは、CDN などのネットワークサービスプロバイダーに非常に広く普及しています。 Fastly は、影響を受けるシステムにセキュリティ更新プログラムを直ちに導入しました。お客様によるアクションは必要ありません。Fastly のサービスは影響を受けませんでした。

    セキュリティ

  • Fastly サービス、FREAK による影響なし

    Daniel McCarney

    Fastly は Logjam による影響を受けません。Fastly では、より安全性の高い楕円曲線ディフィー・ヘルマン (ECDHE) 鍵交換を使用し、ECDHE をサポートしないクライアントに対しては、RSA 鍵交換メカニズムを使用しています。Fastly では輸出グレードの暗号スイートオプションを使用できず、ディフィー・ヘルマン (DHE) 鍵交換メカニズムがサポートされていないため、この脆弱性によって影響を受けることはありません。

    セキュリティ