サービス名から探す : CDN/Edge Platform Powered by Akamaiに関するお知らせ
RFCに準拠しない文字列を含むヘッダを持つリクエストの扱いについて
お客様各位
平素は弊社CDN(Akamai)をご利用いただきまして誠にありがとうございます。
既に掲載しております「RFCに準拠しないHTTPヘッダーに関するセキュリティ脆弱性への対処とお客様影響につきまして」
につきまして、以下の通り補足させていただきます。
#事象詳細
アカマイエッジサーバを経由してオリジンサーバへ転送されるリクエストに、RFCに準拠しない文字列
"(" | ")" | "<" | ">" | "@" | "," | ";" | ":" | "" | "<" | ">" | "/" | "[" | "]" | "?" | "=" | "{" | "}"
を含むヘッダが存在し、かつ、オリジンサーバにてそのヘッダに含まれるRFCに準拠しない文字列を無視せず
コンテンツを返却する場合、キャッシュポイズニングにつながる可能性がある事象が発見されております。
リクエストヘッダの例: ?host: www.example.com
なお、お客様のオリジン環境により対応が異なります。
以下のうち、該当する方のご案内をご参照ください。
1.S3オリジン有り(RFC違反リクエスト無し)の場合
2.RFC違反リクエスト有り(S3オリジン無し)/RFC違反リクエスト有り、かつS3オリジン有りの場合
------------------------------------------------------------------------------------------
■ 1.S3オリジン有り(RFC違反リクエスト無し)の場合:
Akamaiでは、プラットフォーム全体でこのようなRFCに準拠しない文字列を含むヘッダを持つリクエストを
既定で受け付けつけなくする変更準備を進めております。また、お客様の配信設定において、
そのようなリクエストを制御することが可能です。
配信設定において、Strict Header ParsingというBehaviorを追加いただき、Valid Mode及びStrict Modeをonに設定いただき、
Staging環境でお客様トラフィックにおいて問題がないことを十分にご確認いただいたうえ、
本番環境へ適用いただくことで、直ちにこのような事象を解消することが可能です。
英語の参考情報ではございますが、以下KBに設定の手順がございますので、ご確認いただければと存じます。
KB: https://community.akamai.com/customers/s/article/How-to-Enable-Strict-Header-Parsing
------------------------------------------------------------------------------------------
■ 2.RFC違反リクエスト有り(S3オリジン無し)/RFC違反リクエスト有り、かつS3オリジン有りの場合:
現時点においてAkamai側がリクエストに含まれていたRFC非準拠Header情報の詳細内容を解析することは困難です。
これは該当情報がAkamaiプラットフォームにて記録されないというのが大きな理由です。
ただしRFCに準拠しないHeader有無の確認のみは可能な為、Akamaiにてお客様のトラフィックを確認したところ、
オリジンサーバ向けにRFCに準拠しない文字列を含むヘッダがリクエスト上に確認されております。
お手数ではございますが、そのようなリクエストを貴社トラフィックで受けることを想定しているのかご確認をお願いします。
Akamaiでは、プラットフォーム全体でこのようなRFCに準拠しない文字列を含むヘッダを持つリクエストを止める変更準備を進めております。
上述のリクエストを想定している場合、Akamaiプラットフォームで受け付けないようになるため、
事前にOpt outする設定を明示的にお客様の配信設定で適用する必要がございます。
また、Opt outの設定は、お客様以下KB (英語版) の手順でご自身でも設定を変更いただくことは可能です。
なお、Staging環境でお客様トラフィックにおいて問題がないことを十分にご確認いただいたうえ、本番環境へ適用のほどお願いいたします。
KB: https://community.akamai.com/customers/s/article/How-to-Enable-Strict-Header-Parsing
※ただし、Opt outを適用した場合、上述のキャッシュポイズニングにつながる可能性は残るため、ご留意いただく必要がございます。
------------------------------------------------------------------------------------------
以上、宜しくお願い申し上げます。
<お問合せ先>
障害に関するお問い合わせ: trouble-j@ntt.net
CDN全般についてのお問い合わせ: cdn-query@ntt.com