02. November 2012

Sicherheitsanalysten haben ein falsches Verhalten bei SSL-Zertifikatvalidierungsmechanismen in einigen Software Development Kits (SDKs) und API-Tools (Application Programming Interface) von AWS und Drittanbietern gemeldet. Insbesondere haben die Analysten Versionen von EC2-API-Tools (Elastic Cloud Compute), ELB-API-Tools (Elastic Load Balancing) und FPS-SDKs (Flexible Payments Software ) identifiziert, die unter Umständen eine falsche Validierung von SSL-Zertifikaten ausführen. Die für EC2- und ELB-API-Tools gemeldete falsche SSL-Zertifikatvalidierung ermöglicht es unter Umständen, dass ein Man-in-the-Middle-Angreifer signierte AWS-REST-/Abfrageanforderungen für sichere (HTTPS-)EC2- oder ELB-API-Endpunkte lesen kann, er kann sie jedoch nicht erfolgreich verändern. Diese Probleme erlauben es Angreifern nicht, auf Kunden-Instances zuzugreifen oder Kundendaten zu manipulieren. Die für FPS-SDKs gemeldete falsche SSL-Zertifikatvalidierung ermöglicht es unter Umständen, dass ein Angreifer signierte AWS-REST-Anforderungen für sichere (HTTPS-)FPS-API-Endpunkte lesen kann, er kann sie jedoch nicht erfolgreich verändern. Außerdem sind möglicherweise Händleranwendungen betroffen, die Amazon Payments-Software-SDKs verwenden, um FPS-Antworten zur Instant Payment Notification-Überprüfung zu prüfen.

Um diese Probleme zu beheben, hat AWS aktualisierte Versionen der betroffenen SDKs und API-Tools veröffentlicht, die Sie hier finden:

EC2-API-Tools
http://aws.amazon.com/developertools/351

ELB-API-Tools
http://aws.amazon.com/developertools/2536

Amazon Payments-Software-Aktualisierungen
USA: https://payments.amazon.com/sdui/sdui/about?nodeId=201033780
UK: https://payments.amazon.co.uk/help?nodeId=201033780
DE: https://payments.amazon.de/help?nodeId=201033780

 

AWS hat ähnliche Probleme für zusätzliche SDKs und API-Tools mithilfe aktualisierter Versionen behoben. Diese finden Sie hier:

Boto
https://github.com/boto/boto

Auto Scaling-Befehlszeilen-Tool
http://aws.amazon.com/developertools/2535

AWS CloudFormation-Befehlszeilen-Tools
http://aws.amazon.com/developertools/AWS-CloudFormation/2555753788650372

Bootstrapping von Anwendungen via AWS CloudFormation
http://aws.amazon.com/developertools/4026240853893296

Amazon CloudFront-Authentifizierungs-Tool für Curl
http://aws.amazon.com/developertools/CloudFront/1878

Amazon CloudWatch-Befehlszeilen-Tool
http://aws.amazon.com/developertools/2534

Amazon CloudWatch-Überwachungsskripte für Linux
http://aws.amazon.com/code/8720044071969977

Amazon EC2 VM Import Connector für VMware vCenter
http://aws.amazon.com/developertools/2759763385083070

AWS Elastic Beanstalk-Befehlszeilen-Tool
http://aws.amazon.com/code/AWS-Elastic-Beanstalk/6752709412171743

Amazon ElastiCache-Befehlszeilen-Toolkit
http://aws.amazon.com/developertools/Amazon-ElastiCache/2310261897259567

Amazon Mechanical Turk-Befehlszeilen-Tools
http://aws.amazon.com/developertools/694

Amazon Mechanical Turk-SDK für .NET
http://aws.amazon.com/code/SDKs/923

Amazon Mechanical Turk-SDK für Perl
http://aws.amazon.com/code/SDKs/922

Amazon Route 53-Authentifizierungs-Tool für Curl
http://aws.amazon.com/code/9706686376855511

Ruby-Bibliotheken für Amazon Web Services
http://aws.amazon.com/code/SDKs/793

Amazon Simple Notification Service-Befehlszeilenschnittstellen-Tool
http://aws.amazon.com/developertools/3688

Amazon S3-Authentifizierungs-Tool für Curl
http://aws.amazon.com/developertools/Amazon-S3/128

Neben der Verwendung der aktuellen AWS-SDKs und API-Tools sind Kunden dazu angehalten, die zugrunde liegenden Software-Abhängigkeiten zu aktualisieren. Die empfohlenen Versionen für zugrunde liegende Software-Abhängigkeiten finden Sie in der README-Datei des SDK oder des CLI-Tool-Pakets.

AWS empfiehlt weiterhin die Verwendung von SSL, damit eine zusätzliche Sicherheit gewährleistet ist und AWS-Anforderungen oder die Antworten während der Übertragung nicht angezeigt werden können. Signierte AWS-REST-/Abfrageanforderungen über HTTP oder HTTPS sind vor Veränderungen durch Dritte geschützt. MFA-geschützter API-Zugriff mithilfe von AWS Multi-Factor Authentication (MFA) bietet eine zusätzliche Sicherheitsebene für wichtige Vorgänge wie etwa das Beenden von Amazon EC2-Instances oder das Lesen vertraulicher, in Amazon S3 gespeicherter Daten.

Weitere Informationen zum Signieren von AWS-REST-/Abfrageanforderungen finden Sie unter:
http://docs.amazonwebservices.com/general/latest/gr/signing_aws_api_requests.html

Weitere Informationen zum MFA-geschützten API-Zugriff finden Sie unter:
http://docs.amazonwebservices.com/IAM/latest/UserGuide/MFAProtectedAPI.html

AWS möchte den folgenden Personen dafür danken, dass sie diese Probleme gemeldet haben und dass ihnen die Sicherheit genauso am Herzen liegt wie uns:

Martin Georgiev, Suman Jana und Vitaly Shmatikov von der University of Texas in Austin

Subodh Iyengar, Rishita Anubhai und Dan Boneh von der Stanford University

Sicherheit hat bei uns oberste Priorität. Unser Ziel ist es weiterhin, Features, Mechanismen und Unterstützung für unsere Kunden bereitzustellen, damit diese eine sichere AWS-Infrastruktur realisieren können. Bei Fragen zur Sicherheit von AWS oder diesbezüglichen Bedenken schreiben Sie uns an: aws-security@amazon.com.