Advertencias de seguridad

Use After Free flaw in Lucet-runtime

29 de noviembre de 2021

On November 11th 2021, Fastly Engineering received alerts related to segmentation faults on Compute@Edge. A Fastly investigation into CVE-2021-43790, a bug in Lucet, a dependency of Compute@Edge, is disclosed in a recent Bytecode Alliance security advisory. Fastly investigations have not identified additional impact outside of the single case disclosed in this advisory.


It's our goal in this Fastly Security Advisory to illustrate our knowledge about the bug discovered and the actions we have taken to prevent further possible impact to our customers.

Acceso a la memoria debido a un fallo de generación de código en el módulo de Cranelift

21 de mayo de 2021

El error identificado en el backend x64 de Cranelift realiza una extensión de signo en lugar de una extensión de ceros en un valor cargado desde el stack cuando el asignador de registros vuelve a cargar un valor entero desbordado inferior a 64 bits. Este comportamiento choca con otra optimización: el selector de instrucciones elide un operador de extensión de ceros de 32 a 64 bits cuando sabemos que una instrucción que produce un valor de 32 bits en realidad pasa a cero los 32 bits superiores de su registro de destino. Así, el compilador x64 se basa en estos bits a cero, pero el tipo del valor sigue siendo i32, y el spill/reload reconstituye esos bits como la extensión de signo del bit más importante (MSB) de i32.

Entrega incorrecta de registro parcial

3 de septiembre de 2020

El 29 de julio a las 00:00 UTC, Fastly recibió un mensaje de un cliente (cliente X) en el que se informaba de que su sistema de registros había recibido una línea de registro que estaba destinada a otro cliente (cliente Y). Fastly empezó a investigar inmediatamente y determinó que, cuando confluyen una serie compleja de condiciones, es posible que una línea de registro se enrute por error a un servicio de registro que no corresponde. Logramos averiguar que la raíz del incidente era un error en la lógica que Fastly había introducido en abril de 2012 para mejorar el rendimiento. En Fastly nos consta que la notificación de este cliente ha sido el único caso en ocho años en que se han dado a la vez todas las condiciones necesarias.

Advertencia de seguridad de Fastly: Vulnerabilidad por envenenamiento de caché que aprovecha el encabezado X-Forwarded-Host

5 de agosto de 2020

Fastly recibió una notificación del problema el 21 de mayo de 2020 a las 13:30 UTC e, inmediatamente, abrió una investigación para identificar los servidores de origen que respondieron con un número de puerto de prueba en la respuesta de redireccionamiento, con el fin de entender la vulnerabilidad e identificar posibles soluciones. Concluida la investigación, Fastly notificó los hechos por primera vez el 15 de julio de 2020 a las 04:30 UTC a los clientes potencialmente afectados.


La vulnerabilidad es una variante de una vulnerabilidad previamente comunicada y, en última instancia, es el resultado de diseñar respuestas de origen almacenables en caché basadas en datos definidos por el usuario. El problema se produce cuando un atacante emite una petición HTTPS y especifica en el encabezado Host un número de puerto que no se está utilizando realmente para ningún servicio. Existe la posibilidad de almacenar en caché un recurso de tal manera que se impida que futuras peticiones se atiendan de forma adecuada.

Enrutamiento de servicio incorrecto en conexiones de cliente HTTP/2

14 de noviembre de 2019

El 11 de noviembre de 2019, a las 21:57 UTC, Fastly desplegó una nueva compilación de su software de terminación HTTP/2 en dos servidores de caché de Fastly del centro de datos de Mineápolis-St. Paul (STP). Esta compilación contenía un fallo de procesamiento que implicaba la reutilización de la conexión entre sistemas internos de Fastly (no relacionada con la multiplexación de HTTP/2) y provocaba que algunas peticiones entrantes de HTTP/2 destinadas a servicios de los clientes de Fastly pudieran enrutarse por error a un grupo de hasta 20 servicios y orígenes de clientes de Fastly. Esto daba lugar a que algunos datos de peticiones de cliente se entregaran a un origen de cliente incorrecto, con el consiguiente envío de respuesta por parte de este. Es posible que los clientes cuyos orígenes recibían estas peticiones por error registraran los datos de las solicitudes incorrectamente enrutadas.


Fastly recibió por primera vez notificación de este incidente por parte de un cliente el 12 de noviembre de 2019 a las 23:07 UTC. El 13 de noviembre de 2019, a las 00:50 UTC, todo el tráfico de clientes se desvió del centro de datos afectado. Fastly comenzó inmediatamente una investigación, y el 14 de noviembre de 2019, a las 00:31 UTC, confirmamos la presencia de datos de peticiones incorrectamente enrutadas en los registros de un cliente.


Calculamos que el fallo afectó al 0,00016 % de nuestro tráfico global de peticiones durante un periodo de 27 horas. Es poco probable que las peticiones de cliente afectadas procedieran de fuera de Norteamérica.


Como Fastly no almacena datos de registro de los clientes, no podemos asegurar con certeza si una petición afectada en concreto se enrutó incorrectamente.

Envenenamiento de caché mediante diversos encabezados de tipo X

13 de agosto de 2018

El jueves 9 de agosto se publicó en Black Hat USA 2018 un artículo de investigación sobre ataques de envenenamiento de caché contra sitios web desplegados detrás de la infraestructura de almacenamiento en caché. Estos ataques tenían como objetivo potencial inyectar contenido arbitrario en la caché de la víctima.


Ciertas configuraciones de los servicios de Fastly pueden resultar vulnerables si no tienen en cuenta la interacción entre los encabezados utilizados por los backends para seleccionar contenido. Este riesgo se puede mitigar por completo a través de un parche de VCL o mediante la modificación de las configuraciones de los backends.

Vulnerabilidad en la implementación de TCP del kernel de Linux

6 de agosto de 2018

El 6 de agosto de 2018, se hizo pública una vulnerabilidad en la implementación de TCP del kernel de Linux. La vulnerabilidad se denominó «SegmentSmack». Esta vulnerabilidad permitía a un atacante remoto provocar un ataque de denegación de servicio en el servidor de destino simplemente estableciendo una conexión TCP al servidor y enviando segmentos específicos a través de la conexión.


Fastly viene trabajando con el mundo de la seguridad desde antes de la publicación de esta vulnerabilidad, para abordar cómo atajarla en nuestras redes del borde. No representa ninguna amenaza para los clientes de Fastly.

Vulnerabilidad en procesadores modernos

9 de enero de 2018

El miércoles 3 de enero se publicó una investigación sobre una clase de vulnerabilidades de seguridad que afecta a procesadores específicos. Estas vulnerabilidades podrían permitir que un usuario capaz de ejecutar código en un sistema obtenga acceso no autorizado a información vulnerando los límites de seguridad.


Fastly ha completado el análisis inicial de estas vulnerabilidades y no cree que supongan una amenaza inmediata para los clientes de Fastly.

Request body disclosure to other Fastly services

8 de enero de 2018

From August 31st through November 4th, Fastly deployed a version of Varnish which contained a security bug that, in a limited and non-standard set of configurations, disclosed request bodies to other customer origins. In these cases, a request body sent to an affected Fastly customer's service would have been included in a malformed request to a different customer's origin, which may have been logged in that origin web server's access logs.


Fastly performed a comprehensive assessment to identify customers most likely to be affected by this issue. These customers have been contacted directly by Fastly Customer Engineering.

Vulnerabilidad en el módulo de CDN de código abierto de Fastly destinado a integrarse en Magento2

12 de septiembre de 2017

Durante la investigación de la notificación de un cliente, Fastly detectó una vulnerabilidad de seguridad (CVE-2017-13761) en el módulo de CDN de Fastly destinado a integrarse en Magento2 y la abordó. Se trata de código abierto que Fastly publica para facilitar la integración con los productos de nuestro partner. Afecta a todas las versiones anteriores a la 1.2.26 y se recomienda a nuestros clientes que actualicen sus sistemas.


Fastly se ha puesto en contacto directo con los clientes que actualmente utilizan las versiones del módulo afectadas.

Resuelta: vulnerabilidad de la confidencialidad directa de Fastly

16 de noviembre de 2016

El lunes 14 de noviembre de 2016, varios investigadores de seguridad publicaron un artículo titulado «Measuring the Security Harm of TLS Crypto Shortcuts» (Medición de los perjuicios que ocasionan en la seguridad los atajos del cifrado TLS). Entre otras conclusiones de la implementación de TLS en varios sitios, el artículo constataba que Fastly no estaba rotando vales de sesión TLS con frecuencia, lo que limitaba la eficacia de la confidencialidad directa.


Aunque los investigadores no se pusieron en contacto directo con Fastly, el problema se había puesto en conocimiento de Fastly con anterioridad, y esta vulnerabilidad se abordó el viernes 11 de noviembre. No se requiere ninguna acción por parte del cliente para beneficiarse de la corrección.

Interrupción generalizada del DNS de Dyn con impacto en clientes de Fastly

21 de octubre de 2016

El 21 de octubre de 2016, Dyn, un destacado proveedor de DNS administrado, sufrió un ataque de denegación de servicio distribuido que se tradujo en interrupciones que afectaron a varios sitios web importantes, incluida la infraestructura de Fastly (como el panel de control y la API) y clientes de Fastly.


Fastly trabajó con nuestros proveedores adicionales de DNS administrado para garantizar el servicio durante el incidente, lo cual mitigó el impacto a los clientes de Fastly.

Suscríbete a las advertencias de seguridad.

Al enviar la solicitud, das tu consentimiento para que tus datos se envíen a Fastly en los Estados Unidos y sean tratados conforme a nuestra Política de privacidad.

¿List@ para empezar?

Ponte en contacto o crea una cuenta.