セキュリティアドバイザリー

対象範囲

このセキュリティアドバイザリは、ご利用の Fastly のサービスが、2017年8月31日から11月4日までの間に GET または HEAD メソッドを含むリクエストボディを受信したお客様を対象としています。そうでないお客様はこのアドバイザリの対象ではありません。

概要

8月31日から11月4日まで、Fastly はセキュリティバグを含むバージョンの Varnish をデプロイしました。このバグでは、ごく一部の非標準の設定セットで、リクエストボディが他のお客様のオリジンに開示されていました。この場合、影響を受ける Fastly のお客様のサービスに送信されたリクエストボディは、別のお客様のオリジンへの不適切なリクエストとして、そのオリジンの Web サーバーのアクセスログに記録されている可能性があります。

この問題は、リクエストボディで GET または HEAD リクエストを受信するという稀なシナリオにおいて影響しました。RFC 7231 セクション 4.3.1によると、Web サーバーは、ボディを含む GET または HEAD リクエストを有効なものとして扱う義務はありません。これらの種類のリクエストは、通常の Web ブラウジング動作の過程では送信されません。当社が確認したほとんどのインスタンスは、不正な形式のリクエストまたはボットトラフィックと一致していました。

そのようなリクエストを送信するカスタムクライアントを構築しているお客様はこの問題の影響を受けた可能性があります。Fastly はこれまでにこのようなリクエストをサポートしていないため、影響を受けるシナリオが存在した可能性は低いと考えています。なお、開示されたデータはリクエストボディで構成され、リクエストヘッダー (Cookieなど) やレスポンスは含まれていませんでした。

この問題の影響を受ける可能性が高いお客様を特定するため、Fastly は包括的な評価を実施しました。影響を受けた可能性のあるお客様には Fastly のカスタマー・エンジニアリング・チームから直接ご連絡差し上げています。

影響

「概要」セクションに記載されている特定の基準が満たされている場合、リクエストボディのすべて、もしくはその一部が別のお客様のオリジン向けのリクエストの前に追加され、リクエストボディが開示された可能性があります。その場合、お客様のリクエストは不適切なリクエストとして拒否され、別のお客様のサーバーの設定によっては、オリジン Web サーバーのアクセスログに記録される可能性があります。

対応

この問題に完全に対処した Varnish の修正版のデプロイを 2017年11月4日14:46 (UTC) に完了しました。このバージョンは、信頼性の問題に対処する修正措置の一部としてデプロイされました。この日付以降のリクエストはこの脆弱性の影響を受けませんでした。

11月17日に実施された Fastly のセキュリティチームによる事後調査では、この問題が何らかのデータ開示につながっている可能性があることが判明しました。この限定的な開示が行われたシナリオを特定するため、Fastly は影響を受けるバージョンを使用してテスト環境を構築し、個々のお客様の設定を検証したため、このイベントのタイムラインが延長されました。

正確な根本原因と影響は2017年12月8日に判明し、このセキュリティアドバイザリが公開されました。この問題は2017年11月4日時点で完全に対処済みであり、お客様によるアクションは必要ありません。

詳細情報

ご質問がある場合は、Fastly のカスタマー・エンジニアリング・チームまでお問い合わせください。