サービス名から探す : CDN/Edge Platform Powered by Akamaiに関するお知らせ

  1. サポートトップ
  2. サービス名から探す
  3. CDN/Edge Platform Powered by Akamai
  4. お知らせ
  5. [Update] RFCに準拠しない文字列を含むヘッダを持つリクエストの扱いについて

サービスに関するメニュー・サポート情報

サービスに関するメニュー・サポート情報

CDN/Edge Platform Powered by Akamai

[Update] RFCに準拠しない文字列を含むヘッダを持つリクエストの扱いについて

お客様各位

平素は弊社CDN(Akamai)をご利用いただきまして誠にありがとうございます。

既に2023年01月13日に掲載しております同件名のお知らせにつきまして、以下の通りアップデートさせていただきます。


#事象詳細

[RFC非準拠となる条件]

・Header line does not ends with '\r\n'. → ヘッダの行が'\r\n'で終わらない場合

・Header line does not contains colon. → ヘッダの行がコロンを含まない場合

・Header line does not contains name. → ヘッダの行がヘッダ名を含まない場合

・Obs-fold line ends with '\n' instead to '\r\n'. → Obs-foldが'\r\n'ではなく'\n'で改行している場合
 Obs-foldは行頭空白を用いた改行のことです。廃止されており通常はあまり使われていないと思われます。

・Header name contains invalid signs. → ヘッダ名が無効な文字列を含んだ場合

・Header value contains invalid signs. → ヘッダの値が無効な文字列を含んだ場合


[具体例]

例:Hostヘッダを改変し、RFC非準拠なHostヘッダを送る場合

\ host: www.example.com

このように、Originサーバへ転送されるリクエストに、RFC非準拠文字列(※1)が含まれるヘッダ名が存在し、
Originサーバにおいて、それを誤って解釈、コンテンツを返却する場合において、キャッシュポイズニングにつながる可能性があります。

(※1) ヘッダ名の場合、次のような文字列がRFC非準拠となります。

"(" or ")" or "<" or ">" or "@" or "," or ";" or ":" or "\" or "<" or ">" or "/" or "[" or "]" or "?" or "=" or "{" or "}"


[今後の対応方針]

RFC非準拠のヘッダは、今後セキュリティ向上のため、デフォルトで遮断する動きになることを予定をしております。

RFC非準拠のリクエストのうちのほとんどが、正規の通信ではないと理解しておりますが、
万が一、正規の通信として、RFC非準拠のリクエストヘッダを取り扱う必要がある場合に備えて、
オプトアウトの仕組みも準備しております。

“Strict Header Parsing”の動作にて、いずれもOFFすることでパススルーする動きとなります。
また、設定をONとすることで、プラットフォーム一律での変更を待たずに拒否することも可能です。

※ただしオプトアウトを適用した場合は上述のキャッシュポイズニングにつながる可能性が残ることをご留意ください。


[確認事項]

正規の通信として、RFC非準拠のリクエストヘッダを取り扱うことを想定されているかご確認ください。
(例: サーバ間通信などで、RFC非準拠のヘッダ名でリクエストを送っているなど)

そのような場合、上述の通り、事前にオプトアウトする設定を明示的に配信設定で適用する必要がございます。

また、オプトアウトの設定は、以下KB (英語版) を参照の上、お客様側で設定を変更いただくことが可能です。
なお、適用時にはStaging環境にて、十分にご確認いただいたうえ、本番環境へ適用をお願いいたします。

プラットフォーム側でのデフォルトで遮断とする対応は近日中を予定しております。
具体的な日程は決まり次第お知らせいたします。
オプトアウトの必要がある場合は、それまでにご対応いただく必要がございます。

KB: https://community.akamai.com/customers/s/article/How-to-Enable-Strict-Header-Parsing

※ただし、オプトアウト設定を適用した場合、上述のキャッシュポイズニングにつながる可能性は残るため、
ご留意いただく必要がございます。


[補足]

現時点では、RFC非準拠ヘッダ情報の詳細がプラットフォームにて記録することができないため、
詳細内容を解析することは困難となっております。あらかじめご了承ください。

------------------------------------------------------------------------------------------

以上、宜しくお願い申し上げます。


<お問合せ先>
障害に関するお問い合わせ: trouble-j@ntt.net
CDN全般についてのお問い合わせ: cdn-query@ntt.com

 

サービストップへ戻る

前のページへ戻る