セキュリティアドバイザリー

他の Fastly サービスへのリクエストボディの開示

2018年1月8日

対象範囲

このセキュリティアドバイザリは、ご利用の Fastly サービスが、2017831から11月4日までの間に GET または HEAD メソッドを含むリクエストボディを受信した客様を対象としています。そうでないお客様はこのアドバイザリの対象ではありません。

概要

8月31日から11月4日まで、Fastly セキュリティバグを含むバージョンの Varnish デプロイしました。このバグでは、ごく一部の非標準の設定セットで、リクエストボディが他の客様のオリジンに開示されていました。この場合、影響受ける Fastly のお客様のサービスに送信されたリクエストボディは、別の客様のオリジンへの不適切なリクエストとして、そのオリジンの Web サーバーのアクセスログに記録されている可能性があります。

この問題は、リクエストボディで GET または HEAD リクエストを受信するという稀なシナリオにおいて影響しました。RFC 7231 セクション 4.3.1によるとWeb サーバーは、ボディを含む GET または HEAD リクエストを有効なものとして扱う義務はありません。これらの種類のリクエストは、通常の Web ブラウジング動作の過程では送信されません。当社が確認したほとんどのインスタンスは、不正な形式のリクエストまたはボットトラフィックと一致していました。

そのようなリクエストを送信するカスタムクライアントを構築しているお客様はこの問題の影響を受けた可能性があります。Fastly はこれまでにこのようなリクエストをサポートしていないため、影響を受けるシナリオが存在した可能性は低いと考えています。なお、開示されたデータはリクエストボディで構成され、リクエストヘッダー (Cookieなど) レスポンスは含まれていませんでした。

この問題の影響を受ける可能性が高いお客様を特定するため、Fastly 包括的な評価を実施しました。影響を受けた可能性のあるお客様には Fastly カスタマーエンジニアリングチームから直接ご連絡差し上げています。

影響

「概要」セクションに記載されている特定の基準が満たされている場合、リクエストボディのすべて、もしくはその一部が別の客様のオリジン向けのリクエストの前に追加され、リクエストボディが開示された可能性があります。その場合、客様のリクエストは不適切なリクエストとして拒否され、別の客様のサーバーの設定によっては、オリジン Web サーバーのアクセスログに記録される可能性があります。

対応

この問題に完全に対処した Varnish 修正版のデプロイを 2017年11月4日14:46 (UTC) 完了しました。このバージョンは、信頼性の問題に対処する修正措置の一部としてデプロイされました。この日付以降のリクエストはこの脆弱性の影響を受けませんでした。

11月17日に実施された Fastly セキュリティチームによる事後調査では、この問題が何らかのデータ開示につながっている可能性があることが判明しました。この限定的な開示が行われたシナリオを特定するため、Fastly 影響を受けるバージョンを使用してテスト環境を構築し、個々の客様の設定を検証したため、このイベントのタイムラインが延長されました。

正確な根本原因と影響は2017年12月8日に判明し、このセキュリティアドバイザリが公開されました。この問題は2017年11月4日時点で完全に対処済みであり、お客様によるアクションは必要ありません。

詳細情報

質問がある場合は、Fastly カスタマーエンジニアリングチームまでお問い合わせください。

セキュリティアドバイザリーの購読お申し込み

入力いただいた情報は米国 Fastly 送信され、当社のプライバシーポリシー従って処理されます。内容を確認いただき、同意の「購読を申し込む」をクリックしてください。