Die Schwachstelle befand sich in dem Code, der zur Übersetzung von Hostnamen in IP-Adressen verwendet wurde.

wenn es um die TLS-Schlüsselgröße geht.Vor dem Fix konnte ein Angreifer in dem unwahrscheinlichen Fall, dass ein Fastly TLS-Schlüssel kompromittiert wurde, sowohl den Live-Traffic der Nutzer als auch jeglichen zuvor erfassten Traffic zwischen Clients und Fastly Edge-Knoten entschlüsseln, die den kompromittierten Schlüssel verwendet hatten.

Am Freitag, den 11. November, hat Fastly eine regelmäßige Rotation der Session-Tickets im öffentlichen Fastly CDN eingeführt.

Seit diesem Zeitpunkt profitieren alle Kunden von der starken Forward Secrecy und die Schwachstelle wurde behoben.

TLS-Sitzungstickets sind eine Methode zur Wiederaufnahme von TLS-Sitzungen, was in RFC 5077 ausführlicher beschrieben ist. Sie wird von TLS-Servern verwendet, um Sitzungen wieder aufzunehmen und die Aufbewahrung von einzelnen Client-Sitzungszuständen zu vermeiden. Das wird erreicht, indem der Sitzungszustand in ein Ticket gekapselt und an einen Client weitergeleitet wird, der dann das Ticket für die Wiederaufnahme der Sitzung verwenden kann.Der Vortrag „Measuring the Security Harm of TLS Crypto Shortcuts“ wurde am 14. November 2016 bei der ACM Internet Measurement Conference gehalten.

Marc Eisenbarth, Director of Application Security – meisenbarth@fastly.com

Dana Wolf, Senior Vice President of Product – dwolf@fastly.comLaine Campbell, Senior Vice President of Engineering – lcampbell@fastly.com

[6] https://docs.fastly.com/guides/vcl-tutorials/manipulating-the-cache-key[7] https://www.fastly.com/blog/best-practices-using-vary-header

Diese Schwachstelle, die in allen Versionen des Moduls vor Version 1.2.26 vorhanden war, führte dazu, dass Umleitungsrückmeldungen für einige Sekunden zwischengespeichert wurden. Ein Sitzungsleck kann in bestimmten Fällen auftreten, wenn ein Authentifizierungs-Plugin eines Drittanbieters verwendet wird, z. B. OAuth, das auf Umleitungen anstelle von POST-Anfragen setzt.

ATO Protection

Die Schwachstelle könnte daher dazu führen, dass Informationen aus einer authentifizierten Sitzung zu einem anderen authentifizierten Nutzer durchsickern.

Diese Schwachstelle wurde in Version 1.2.26 des Fastly CDN-Moduls behoben. Wir empfehlen Kunden, die eine ältere Version des Moduls heruntergeladen und eingesetzt haben, ein Upgrade auf Version 1.2.26 oder nachfolgende Versionen durchzuführen. Die neueste und empfohlene Version ist Version 1.2.28.

Sie können den folgenden Befehl ausführen, um festzustellen, ob Ihr Standort betroffen ist:$ curl -H “Fastly-Debug:1” -v -o /dev/null https://www.example.com/

Sie möchten loslegen?

| grep Fastly Magento-VCL < Fastly Magento-VCL-Uploaded: 1.2.20Dieser Schwachstelle wurde die CVE-Kennung CVE-2017-13761 zugewiesen.Dieses Problem wurde im Fastly Magento2-Code-Speicher angegangen, und die neueste Version ist unter https://github.com/fastly/fastly-magento2/releases verfügbar.

Overview
Brendon Macaraeg
Senior Director of Product Marketing
Veröffentlicht am

Lesedauer: 2 Min.

Sie möchten sich mit einem Experten austauschen?
Sprechen Sie mit einem Experten
Diesen Beitrag teilen
Brendon Macaraeg
Senior Director of Product Marketing

Brendon Macaraeg ist Senior Director of Product Marketing bei Fastly. Bevor er zu Fastly kam, leitete er das Produktmarketing-Team bei Signal Sciences und davor konzentrierte er sich auf die Steigerung der Markenbekanntheit und die Vermarktung der Sicherheitsprodukte von CrowdStrike und Symantec. In seiner Freizeit verbringt Brendon viel Zeit in der Natur mit seiner Frau und seinen Kindern.

Sie möchten loslegen?

Setzen Sie sich mit uns in Verbindung oder erstellen Sie einen Account.

Fastly kostenlos testenExperten kontaktieren
Fastly
© Fastly 2024