2 novembre 2012

Les experts en sécurité ont signalé un mauvais comportement dans les mécanismes de validation de certificat SSL de certains kits de développement logiciel (SDK) et de certains outils d'interface de programmation d'application (API) mis à jour par AWS et des tiers. Spécifiquement, les experts ont identifié des versions d'outils d'API d'Elastic Cloud Compute (EC2), d'Elastic Load Balancing (ELB), ainsi que de SDK du Flexible Payments Software qui peuvent mal réaliser les validations de certificats SSL. La mauvaise validation de certificat SSL signalée dans les outils d'API d'EC2 et d'ELB peut permettre à un attaquant de type « man-in-the-middle » de lire, mais pas de modifier, les requêtes signées AWS REST/Query destinées aux points de terminaison d'API EC2 et ELB sécurisés (HTTPS). Ces problèmes ne permettent pas à un attaquant d'accéder aux instances des clients ou de manipuler les données des clients. La mauvaise validation de certificat SSL signalée au niveau des SDK du FPS peuvent permettre à un attaquant de lire, mais pas de modifier, les requêtes signées AWS REST destinées aux points de terminaison d'API de FPS sécurisés (HTTPS). Elle peut également avoir un impact sur les applications commerciales qui utilisent les SDK du logiciel Amazon Payments pour vérifier les réponses FPS à la vérification de Instant Payment Notification (notification de paiement instantané).

Pour régler ces problèmes, AWS a publié des versions mises à jour des SDK et des outils d'API affectés, que vous pouvez trouver ici :

Outils d'API EC2
http://aws.amazon.com/developertools/351

Outils d'API ELB
http://aws.amazon.com/developertools/2536

Mises à jour du logiciel Amazon Payments
USA : https://payments.amazon.com/sdui/sdui/about?nodeId=201033780
UK : https://payments.amazon.co.uk/help?nodeId=201033780
DE : https://payments.amazon.de/help?nodeId=201033780

 

AWS a réglé des problèmes similaires pour des SDK et des outils d'API supplémentaires en publiant des versions mises à jour, que vous pouvez trouver ici :

Boto
https://github.com/boto/boto

Outils de ligne de commande Auto Scaling
http://aws.amazon.com/developertools/2535

Outils de ligne de commande AWS CloudFormation
http://aws.amazon.com/developertools/AWS-CloudFormation/2555753788650372

Amorcer des applications à l'aide d'AWS CloudFormation
http://aws.amazon.com/developertools/4026240853893296

Outil d'authentification Amazon CloudFront pour Curl
http://aws.amazon.com/developertools/CloudFront/1878

Outil de ligne de commande Amazon CloudWatch
http://aws.amazon.com/developertools/2534

Scripts de supervision Amazon CloudWatch pour Linux
http://aws.amazon.com/code/8720044071969977

Amazon EC2 VM Import Connector pour VMware vCenter
http://aws.amazon.com/developertools/2759763385083070

Outil de ligne de commande AWS Elastic Beanstalk
http://aws.amazon.com/code/AWS-Elastic-Beanstalk/6752709412171743

Boîte à outils de ligne de commande Amazon ElastiCache
http://aws.amazon.com/developertools/Amazon-ElastiCache/2310261897259567

Outils de ligne de commande Amazon Mechanical Turk
http://aws.amazon.com/developertools/694

SDK Amazon Mechanical Turk pour .NET
http://aws.amazon.com/code/SDKs/923

SDK Amazon Mechanical Turk pour Perl
http://aws.amazon.com/code/SDKs/922

Outil d'authentification Amazon Route 53 pour Curl
http://aws.amazon.com/code/9706686376855511

Bibliothèques Ruby pour Amazon Web Services
http://aws.amazon.com/code/SDKs/793

Outil de ligne de commande Amazon Simple Notification Service
http://aws.amazon.com/developertools/3688

Outil d'authentification Amazon S3 pour Curl
http://aws.amazon.com/developertools/Amazon-S3/128

En plus d'utiliser les derniers SDK et outils d'API AWS, nous encourageons les client à mettre à jour les dépendances de logiciels sous-jacentes. Vous pouvez trouver les versions suggérées des dépendances de logiciels sous-jacentes dans le fichier README du SDK ou du package d'outil CLI.

AWS continue de recommander l'utilisation du protocole SSL pour une sécurité supplémentaire et pour protéger les requêtes AWS ou leur réponses contre la visualisation en transit. Les requêtes signées AWS REST/Query via HTTP ou HTTPS sont protégées contre les modifications de tiers. L'accès des API protégé par AWS Multi-Factor Authentication (MFA) apporte une couche supplémentaire de sécurité pour les opérations puissantes, comme l'arrêt des instances Amazon EC2 ou la lecture de données sensibles stockées dans Amazon S3.

Pour en savoir plus à propos de la signature des requêtes AWS REST/Query, reportez-vous à l'adresse suivante :
http://docs.amazonwebservices.com/general/latest/gr/signing_aws_api_requests.html

Pour en savoir plus à propos de l'accès des API protégé par MFA, reportez-vous à l'adresse suivante :
http://docs.amazonwebservices.com/IAM/latest/UserGuide/MFAProtectedAPI.html

AWS souhaite remercier les personnes suivantes pour avoir signalé ces problèmes et pour leur partage de notre passion pour la sécurité :

Martin Georgiev, Suman Jana et Vitaly Shmatikov de l'University of Texas à Austin.

Subodh Iyengar, Rishita Anubhai et Dan Boneh de la Stanford University

La sécurité est notre priorité absolue. Nous restons déterminés à fournir des fonctionnalités, des mécanismes et une assistance à nos clients pour réaliser une infrastructure AWS sécurisée. Les questions ou préoccupations liées à la sécurité d'AWS peuvent être portées à notre attention via aws-security@amazon.com.