2012 年 11 月 2 日

安全研究人员报告由 AWS 和第三方维护的部分软件开发工具包 (SDK) 和应用程序编程接口 (API) 工具的 SSL 证书验证机制中出现了不正确的行为。具体来说,研究人员已确定可能会执行不正确 SSL 证书验证的 Elastic Cloud Compute (EC2) API 工具、Elastic Load Balancing (ELB) API 工具和 Flexible Payments Software (FPS) SDK 的版本。EC2 和 ELB API 工具中报告的不正确 SSL 证书验证可能允许中间人攻击者读取但不会成功修改适用于安全 (HTTPS) EC2 或 ELB API 终端节点的已签名 AWS REST/查询请求。这些问题不允许攻击者访问客户实例或操控客户数据。FPS SDK 中报告的不正确 SSL 证书验证可能允许攻击者读取但不会成功修改适用于安全 (HTTPS) FPS API 终端节点的已签名 AWS REST 请求,并且还可能会影响使用 Amazon Payments Software SDK 来验证至 Instant Payment Notification 验证的 FPS 响应的商业应用程序。

为了解决这些问题,AWS 发布了受影响 SDK 和 API 工具的更新版本,可以在以下位置找到它们:

EC2 API 工具
http://aws.amazon.com/developertools/351

ELB API 工具
http://aws.amazon.com/developertools/2536

Amazon Payments Software 更新
美国:https://payments.amazon.com/sdui/sdui/about?nodeId=201033780
英国:https://payments.amazon.co.uk/help?nodeId=201033780
德国:https://payments.amazon.de/help?nodeId=201033780

 

AWS 已解决了其他 SDK 和 API 工具中的类似问题;发布更新版本,位于以下位置:

Boto
https://github.com/boto/boto

Auto Scaling 命令行工具
http://aws.amazon.com/developertools/2535

AWS CloudFormation 命令行工具
http://aws.amazon.com/developertools/AWS-CloudFormation/2555753788650372

通过 AWS CloudFormation 启动应用程序
http://aws.amazon.com/developertools/4026240853893296

适用于 Curl 的 Amazon CloudFront 身份验证工具
http://aws.amazon.com/developertools/CloudFront/1878

Amazon CloudWatch 命令行工具
http://aws.amazon.com/developertools/2534

适用于 Linux 的 Amazon CloudWatch 监控脚本
http://aws.amazon.com/code/8720044071969977

适用于 VMware vCenter 的 Amazon EC2 VM Import 连接器
http://aws.amazon.com/developertools/2759763385083070

AWS Elastic Beanstalk 命令行工具
http://aws.amazon.com/code/AWS-Elastic-Beanstalk/6752709412171743

Amazon ElastiCache 命令行工具包
http://aws.amazon.com/developertools/Amazon-ElastiCache/2310261897259567

Amazon Mechanical Turk 命令行工具
http://aws.amazon.com/developertools/694

适用于 .NET 的 Amazon Mechanical Turk SDK
http://aws.amazon.com/code/SDKs/923

适用于 Perl 的 Amazon Mechanical Turk SDK
http://aws.amazon.com/code/SDKs/922

适用于 Curl 的 Amazon Route 53 身份验证工具
http://aws.amazon.com/code/9706686376855511

适用于 Amazon Web Services 的 Ruby 库
http://aws.amazon.com/code/SDKs/793

Amazon Simple Notification Service 命令行界面工具
http://aws.amazon.com/developertools/3688

适用于 Curl 的 Amazon S3 身份验证工具
http://aws.amazon.com/developertools/Amazon-S3/128

除了使用最新的 AWS SDK 和 API 工具外,我们还鼓励客户更新底层软件依赖关系。建议的底层软件依赖关系版本可以在 SDK 或 CLI 工具包的 README 文件中找到。

AWS 仍建议使用 SSL 来提高安全性,并防止在传输过程 AWS 请求或其响应被查看。第三方无法修改通过 HTTP 或 HTTPS 的已签名 AWS REST/查询请求,并且使用 AWS Multi-Factor Authentication (MFA) 的 MFA 保护的 API 访问可以通过强大的操作(如终止 Amazon EC2 实例或读取 Amazon S3 中存储的敏感数据)提供额外的安全层。

有关签署 AWS REST/查询请求的更多信息,请参阅:
http://docs.amazonwebservices.com/general/latest/gr/signing_aws_api_requests.html

有关 MFA 保护的 API 访问的更多信息,请参阅:
http://docs.amazonwebservices.com/IAM/latest/UserGuide/MFAProtectedAPI.html

AWS 感谢以下人员报告上述问题并与我们一起致力追求安全性:

德克萨斯大学奥斯丁分校的 Martin Georgiev、Suman Jana 和 Vitaly Shmatikov

斯坦福大学的 Subodh Iyengar、Rishita Anubhai 和 Dan Boneh

保证安全性是我们的首要任务。我们始终致力于为客户提供各种功能、机制和协助,从而打造安全的 AWS 基础设施。可通过 aws-security@amazon.com 向我们报告与 AWS 安全相关的问题或疑问。