4 juin 2011
Lors de l'utilisation d'Amazon Machine Images (AMI), il est important de veiller à prendre les précautions appropriées pour garantir que les informations d'identification importantes ne soient pas laissées par inadvertance sur les AMI lorsqu'elles sont partagées publiquement. Nous avons été récemment informés de quelques situations dans lesquelles des clients ont créé et partagé des informations d'identification à leur insu.
Dans les cas où AWS a été informé de clients qui ont exposé par inadvertance des informations d'identification AWS et des accès tiers dans une AMI publique créée et partagée, AWS a contacté ces clients et les a encouragés à rendre l'AMI associée privée et à modifier immédiatement leurs informations d'identification exposées. Dans les cas où le client affecté n'a pas pu être immédiatement contacté, AWS a rendu l'AMI associée privée pour le compte du client pour empêcher une nouvelle exposition de ses identifiants personnels AWS et d'accès tiers.
Dans les cas où AWS a été informé d'une AMI publique contenant une clé publique SecureShell (SSH) préinstallée, qui accorde effectivement à l'éditeur AMI un accès à distance à toutes les instances en cours d'exécution de cette AMI, AWS a contacté l'éditeur AMI pour lui demander de rendre l'AMI associée privée. Dans les cas où l'éditeur AMI n'a pas pu être contacté immédiatement ou n'a pas rapidement accepté de rendre l'AMI associée privée, AWS a rendu l'AMI associée privée afin de protéger nos clients. De plus, tous les clients identifiés exécutant des instances de cette AMI affectée ont été informés et encouragés à supprimer la clé SSH publique préinstallée incriminée, bloquant ainsi l'accès à distance de l'éditeur AMI. Les clients identifiés exécutant des instances de l'AMI affectée ont également été fortement encouragés à sauvegarder les données existantes et à migrer vers une AMI plus récente, si disponible.
Nous n'avons reçu aucun rapport indiquant que ces failles ont été activement exploitées. Le but de ce document est de rappeler aux utilisateurs qu'il est extrêmement important de rechercher et de supprimer soigneusement toutes les informations d'identification importantes d'une AMI avant de la rendre publique. Le but de ce document est de rappeler aux utilisateurs qu'il est extrêmement important de rechercher et de supprimer soigneusement toutes les informations d'identification importantes d'une AMI avant de la rendre publique. Un didacticiel sur la façon de partager et d'utiliser les AMI publiques en toute sécurité est disponible sur http://aws.amazon.com/articles/0155828273219400
Des conseils supplémentaires sur le partage des AMI en toute sécurité sont disponible sur http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?AESDG-chapter-sharingamis.html
Le respect de ces directives produit une meilleure expérience utilisateur, permet de garantir la sécurité des instances utilisateur et peut protéger l'éditeur AMI.
Les clients doivent signaler à AWS Security tout problème de sécurité associé à une AMI publique en contactant aws-security@amazon.com