2 نوفمبر 2012
أبلغ الباحثون في مجال الأمن عن سلوك غير صحيح في آليات التحقق من صحة شهادة SSL لبعض مجموعات تطوير البرمجيات (SDK) وأدوات واجهة برمجة التطبيقات (API) التي تحتفظ بها AWS والأطراف الخارجية. حدَّد الباحثون، على وجه التحديد، إصدارات أدوات Elastic Cloud Compute (EC2) API، وأدوات Elastic Load Balancing (ELB) API، ومجموعات SDK لبرنامج الدفعات المرنة (FPS) التي قد تُجري عمليات تحقق غير صحيحة لشهادات SSL. قد تسمح عملية التحقق غير الصحيحة من صحة شهادة SSL التي تم الإبلاغ عنها في EC2 وأدوات ELB API للمهاجم الوسيط بقراءة طلبات REST/Query في AWS المُوَقَّعة والمخصصة لتأمين نقاط النهاية (HTTPS) EC2 أو ELB API ولكن ليس تعديلها بنجاح. لا تسمح هذه المشكلات للمهاجم بالوصول إلى مثيلات العملاء أو التلاعب ببيانات العميل. من المحتمل أن تسمح عملية التحقق غير الصحيحة من صحة شهادة SSL التي تم الإبلاغ عنها في مجموعات SDK الخاصة بـ FPS للمهاجم بقراءة طلبات REST المُوَقَّعة في AWS والمخصصة لنقاط نهاية API FPS الآمنة (HTTPS) ولكن ليس تعديلها بنجاح، وقد تؤثر أيضًا على التطبيقات التجارية التي تستخدم مجموعات SDK الخاصة بـ Amazon Payments للتحقق من استجابات FPS للتحقق من صحة إشعار الدفع الفوري.
لمعالجة هذه المشكلات، أصدرت AWS إصدارات مُحَدَّثة من مجموعات SDK وأدوات API المتأثرة، والتي يمكن العثور عليها هنا:
أدوات API لـ EC2
http://aws.amazon.com/developertools/351
أدوات API لـ ELB
http://aws.amazon.com/developertools/2536
تحديثات برمجيات Amazon Payments
الولايات المتحدة: https://payments.amazon.com/sdui/sdui/about?nodeId=201033780
المملكة المتحدة: https://payments.amazon.co.uk/help?nodeId=201033780
ألمانيا: https://payments.amazon.de/help?nodeId=201033780
عالجت AWS مشكلات مماثلة لمجموعات SDK وأدوات API إضافية؛ مُصدرة إصدارات مُحَدَّثة، والتي يمكن العثور عليها هنا:
Boto
https://github.com/boto/boto
أداة سطر الأوامر لـ Auto Scaling
http://aws.amazon.com/developertools/2535
أدوات سطر الأوامر لـ AWS CloudFormation
http://aws.amazon.com/developertools/AWS-CloudFormation/2555753788650372
تطبيقات التشغيل التمهيدي باستخدام AWS CloudFormation
http://aws.amazon.com/developertools/4026240853893296
أداة مصادقة Amazon CloudFront لـ Curl
http://aws.amazon.com/developertools/CloudFront/1878
أدارة سطر الأوامر لـ Amazon CloudWatch
http://aws.amazon.com/developertools/2534
البرامج النصية لمراقبة Amazon CloudWatch لـ Linux
http://aws.amazon.com/code/8720044071969977
Amazon EC2 VM Import Connector لـ VMware vCenter
http://aws.amazon.com/developertools/2759763385083070
أداة سطر الأوامر لـ AWS Elastic Beanstalk
http://aws.amazon.com/code/AWS-Elastic-Beanstalk/6752709412171743
مجموعة أدوات سطر الأوامر لـ Amazon ElastiCache
http://aws.amazon.com/developertools/Amazon-ElastiCache/2310261897259567
أدوات سطر الأوامر لـ Amazon Mechanical Turk
http://aws.amazon.com/developertools/694
Amazon Mechanical Turk SDK لـ .NET
http://aws.amazon.com/code/SDKs/923
Amazon Mechanical Turk SDK لـ Perl
http://aws.amazon.com/code/SDKs/922
أداة مصادقة Amazon Route 53 لـ Curl
http://aws.amazon.com/code/9706686376855511
مكتبات Ruby لـ Amazon Web Services
http://aws.amazon.com/code/SDKs/793
أداة واجهة سطر الأوامر لـ Amazon Simple Notification Service
http://aws.amazon.com/developertools/3688
أداة مصادقة Amazon S3 لـ Curl
http://aws.amazon.com/developertools/Amazon-S3/128
بالإضافة إلى استخدام أحدث مجموعات SDK وأدوات API من AWS، يتم تشجيع العملاء على تحديث تبعيات البرامج الأساسية. يمكن العثور على الإصدارات المقترحة لتبعيات البرامج الأساسية في ملف README الخاص بحزمة أدوات SDK أو CLI.
تواصل AWS التوصية باستخدام SSL لمزيد من الأمان وحماية طلبات AWS أو استجاباتها من أن يتم عرضها في أثناء النقل. إن طلبات REST/Query من AWS المُوَقَّعة عبر HTTP أو HTTPS محمية ضد تعديل الطرف الخارجي، ويوفر وصول API المحمي بواسطة MFA باستخدام AWS Multi-Factor Authentication (MFA) طبقة إضافية من الأمان على العمليات القوية، مثل إنهاء مثيلات Amazon EC2 أو قراءة البيانات الحساسة المخزنة في Amazon S3.
للحصول على المزيد من المعلومات حول توقيع طلبات REST/Query من AWS، يُرجى الاطلاع على:
http://docs.amazonwebservices.com/general/latest/gr/signing_aws_api_requests.html
للحصول على مزيد من المعلومات حول الوصول إلى API المحمية من MFA، يُرجى الاطلاع على:
http://docs.amazonwebservices.com/IAM/latest/UserGuide/MFAProtectedAPI.html
تود AWS شكر الأشخاص التاليين للإبلاغ عن هذه المشكلات ومشاركتهم لنا في شغفنا بالأمن:
مارتن جورجيف وسومان جانا وفيتالي شماتيكوف من جامعة تكساس في أوستن
سوبوده ايينجار، وريشيتا أنوباي، ودان بونيه من جامعة ستانفورد
يُعد الأمان أولويتنا الأولى. نظل ملتزمين بتوفير الخصائص، والآليات، والمساعدة لعملائنا لتحقيق بنية تحتية آمنة لـ AWS. يمكن لفت انتباهنا إلى الأسئلة أو المخاوف المتعلقة بأمان AWS عبر aws-security@amazon.com.