02. November 2012
Sicherheitsanalysten haben ein falsches Verhalten bei SSL-Zertifikatvalidierungsmechanismen in einigen Software Development Kits (SDKs) und API-Tools (Application Programming Interface) von AWS und Drittanbietern gemeldet. Insbesondere haben die Analysten Versionen von EC2-API-Tools (Elastic Cloud Compute), ELB-API-Tools (Elastic Load Balancing) und FPS-SDKs (Flexible Payments Software ) identifiziert, die unter Umständen eine falsche Validierung von SSL-Zertifikaten ausführen. Die für EC2- und ELB-API-Tools gemeldete falsche SSL-Zertifikatvalidierung ermöglicht es unter Umständen, dass ein Man-in-the-Middle-Angreifer signierte AWS-REST-/Abfrageanforderungen für sichere (HTTPS-)EC2- oder ELB-API-Endpunkte lesen kann, er kann sie jedoch nicht erfolgreich verändern. Diese Probleme erlauben es Angreifern nicht, auf Kunden-Instances zuzugreifen oder Kundendaten zu manipulieren. Die für FPS-SDKs gemeldete falsche SSL-Zertifikatvalidierung ermöglicht es unter Umständen, dass ein Angreifer signierte AWS-REST-Anforderungen für sichere (HTTPS-)FPS-API-Endpunkte lesen kann, er kann sie jedoch nicht erfolgreich verändern. Außerdem sind möglicherweise Händleranwendungen betroffen, die Amazon Payments-Software-SDKs verwenden, um FPS-Antworten zur Instant Payment Notification-Überprüfung zu prüfen.
Um diese Probleme zu beheben, hat AWS aktualisierte Versionen der betroffenen SDKs und API-Tools veröffentlicht, die Sie hier finden:
EC2-API-Tools
http://aws.amazon.com/developertools/351
ELB-API-Tools
http://aws.amazon.com/developertools/2536
Amazon Payments-Software-Aktualisierungen
USA: https://payments.amazon.com/sdui/sdui/about?nodeId=201033780
UK: https://payments.amazon.co.uk/help?nodeId=201033780
DE: https://payments.amazon.de/help?nodeId=201033780
AWS hat ähnliche Probleme für zusätzliche SDKs und API-Tools mithilfe aktualisierter Versionen behoben. Diese finden Sie hier:
Boto
https://github.com/boto/boto
Auto Scaling-Befehlszeilen-Tool
http://aws.amazon.com/developertools/2535
AWS CloudFormation-Befehlszeilen-Tools
http://aws.amazon.com/developertools/AWS-CloudFormation/2555753788650372
Bootstrapping von Anwendungen via AWS CloudFormation
http://aws.amazon.com/developertools/4026240853893296
Amazon CloudFront-Authentifizierungs-Tool für Curl
http://aws.amazon.com/developertools/CloudFront/1878
Amazon CloudWatch-Befehlszeilen-Tool
http://aws.amazon.com/developertools/2534
Amazon CloudWatch-Überwachungsskripte für Linux
http://aws.amazon.com/code/8720044071969977
Amazon EC2 VM Import Connector für VMware vCenter
http://aws.amazon.com/developertools/2759763385083070
AWS Elastic Beanstalk-Befehlszeilen-Tool
http://aws.amazon.com/code/AWS-Elastic-Beanstalk/6752709412171743
Amazon ElastiCache-Befehlszeilen-Toolkit
http://aws.amazon.com/developertools/Amazon-ElastiCache/2310261897259567
Amazon Mechanical Turk-Befehlszeilen-Tools
http://aws.amazon.com/developertools/694
Amazon Mechanical Turk-SDK für .NET
http://aws.amazon.com/code/SDKs/923
Amazon Mechanical Turk-SDK für Perl
http://aws.amazon.com/code/SDKs/922
Amazon Route 53-Authentifizierungs-Tool für Curl
http://aws.amazon.com/code/9706686376855511
Ruby-Bibliotheken für Amazon Web Services
http://aws.amazon.com/code/SDKs/793
Amazon Simple Notification Service-Befehlszeilenschnittstellen-Tool
http://aws.amazon.com/developertools/3688
Amazon S3-Authentifizierungs-Tool für Curl
http://aws.amazon.com/developertools/Amazon-S3/128
Neben der Verwendung der aktuellen AWS-SDKs und API-Tools sind Kunden dazu angehalten, die zugrunde liegenden Software-Abhängigkeiten zu aktualisieren. Die empfohlenen Versionen für zugrunde liegende Software-Abhängigkeiten finden Sie in der README-Datei des SDK oder des CLI-Tool-Pakets.
AWS empfiehlt weiterhin die Verwendung von SSL, damit eine zusätzliche Sicherheit gewährleistet ist und AWS-Anforderungen oder die Antworten während der Übertragung nicht angezeigt werden können. Signierte AWS-REST-/Abfrageanforderungen über HTTP oder HTTPS sind vor Veränderungen durch Dritte geschützt. MFA-geschützter API-Zugriff mithilfe von AWS Multi-Factor Authentication (MFA) bietet eine zusätzliche Sicherheitsebene für wichtige Vorgänge wie etwa das Beenden von Amazon EC2-Instances oder das Lesen vertraulicher, in Amazon S3 gespeicherter Daten.
Weitere Informationen zum Signieren von AWS-REST-/Abfrageanforderungen finden Sie unter:
http://docs.amazonwebservices.com/general/latest/gr/signing_aws_api_requests.html
Weitere Informationen zum MFA-geschützten API-Zugriff finden Sie unter:
http://docs.amazonwebservices.com/IAM/latest/UserGuide/MFAProtectedAPI.html
AWS möchte den folgenden Personen dafür danken, dass sie diese Probleme gemeldet haben und dass ihnen die Sicherheit genauso am Herzen liegt wie uns:
Martin Georgiev, Suman Jana und Vitaly Shmatikov von der University of Texas in Austin
Subodh Iyengar, Rishita Anubhai und Dan Boneh von der Stanford University
Sicherheit hat bei uns oberste Priorität. Unser Ziel ist es weiterhin, Features, Mechanismen und Unterstützung für unsere Kunden bereitzustellen, damit diese eine sichere AWS-Infrastruktur realisieren können. Bei Fragen zur Sicherheit von AWS oder diesbezüglichen Bedenken schreiben Sie uns an: aws-security@amazon.com.