2 November 2012
Peneliti keamanan melaporkan kesalahan perilaku dalam mekanisme validasi sertifikat SSL dari beberapa kit pengembangan perangkat lunak (SDK) dan alat antarmuka pemrograman aplikasi (API) yang dikelola oleh AWS dan pihak ketiga. Secara khusus, peneliti mengidentifikasi versi alat API Elastic Cloud Compute (EC2), alat API Elastic Load Balancing (ELB), dan SDK Flexible Payments Software (FPS) yang dapat melakukan kesalahan validasi sertifikat SSL. Kesalahan validasi sertifikat SSL yang dilaporkan dalam alat API ELB dan EC2 dapat berpotensi memungkinkan penyerang man-in-the-middle membaca, tetapi tidak berhasil mengubah, permintaan Kueri/REST AWS bertanda tangan yang dimaksudkan untuk titik akhir API ELB atau EC2 (HTTPS) yang aman. Masalah ini tidak memungkinkan penyerang mengakses instans pelanggan atau memanipulasi data pelanggan. Kesalahan validasi sertifikat SSL yang dilaporkan dalam SDK FPS dapat berpotensi memungkinkan penyerang membaca, tetapi tidak berhasil mengubah, permintaan REST AWS bertanda tangan yang dimaksudkan untuk titik akhir API FPS (HTTPS) yang aman, serta dapat berdampak pada aplikasi merchant yang memanfaatkan SDK Amazon Payments Software untuk memverifikasi respons FPS pada verifikasi Instant Payment Notification.
Untuk mengatasi masalah ini, AWS telah merilis versi terbaru SDK dan alat API yang terpengaruh, yang dapat ditemukan di sini:
Alat API EC2
http://aws.amazon.com/developertools/351
Alat API ELB
http://aws.amazon.com/developertools/2536
Pembaruan Perangkat Lunak Amazon Payments
AS: https://payments.amazon.com/sdui/sdui/about?nodeId=201033780
Inggris: https://payments.amazon.co.uk/help?nodeId=201033780
Jerman: https://payments.amazon.de/help?nodeId=201033780
AWS telah mengatasi beberapa masalah serupa untuk SDK dan alat API tambahan; merilis versi terbaru yang dapat ditemukan di sini:
Boto
https://github.com/boto/boto
Alat Baris Perintah Auto Scaling
http://aws.amazon.com/developertools/2535
Alat Baris Perintah AWS CloudFormation
http://aws.amazon.com/developertools/AWS-CloudFormation/2555753788650372
Aplikasi Bootstrapping yang menggunakan AWS CloudFormation
http://aws.amazon.com/developertools/4026240853893296
Alat Autentikasi Amazon CloudFront untuk Curl
http://aws.amazon.com/developertools/CloudFront/1878
Alat Baris Perintah Amazon CloudWatch
http://aws.amazon.com/developertools/2534
Skrip Pemantauan Amazon Cloudwatch untuk Linux
http://aws.amazon.com/code/8720044071969977
Amazon EC2 VM Import Connector untuk VMware vCenter
http://aws.amazon.com/developertools/2759763385083070
Alat Baris Perintah AWS Elastic Beanstalk
http://aws.amazon.com/code/AWS-Elastic-Beanstalk/6752709412171743
Toolkit Baris Perintah Amazon ElastiCache
http://aws.amazon.com/developertools/Amazon-ElastiCache/2310261897259567
Alat Baris Perintah Amazon Mechanical Turk
http://aws.amazon.com/developertools/694
SDK Amazon Mechanical Turk untuk .NET
http://aws.amazon.com/code/SDKs/923
SDK Amazon Mechanical Turk untuk Perl
http://aws.amazon.com/code/SDKs/922
Alat Autentikasi Amazon Route 53 untuk Curl
http://aws.amazon.com/code/9706686376855511
Pustaka Ruby untuk Amazon Web Services
http://aws.amazon.com/code/SDKs/793
Alat Antarmuka Baris Perintah Amazon Simple Notification Service
http://aws.amazon.com/developertools/3688
Alat Autentikasi Amazon S3 untuk Curl
http://aws.amazon.com/developertools/Amazon-S3/128
Selain menggunakan alat API dan SDK AWS terbaru, pelanggan disarankan untuk memperbarui dependensi perangkat lunak yang mendasar. Versi dependensi perangkat lunak dasar yang disarankan dapat ditemukan di file README paket alat CLI atau SDK.
AWS tetap merekomendasikan penggunaan SSL sebagai keamanan tambahan dan untuk melindungi permintaan AWS atau respons mereka agar tidak dilihat saat transit. Permintaan Kueri/REST AWS bertanda tangan melalui HTTP atau HTTPS dilindungi dari perubahan pihak ketiga, dan akses API yang dilindungi MFA yang menggunakan AWS Multi-Factor Authentication (MFA) memberikan lapisan keamanan tambahan pada pengoperasian yang canggih, seperti menghentikan instans Amazon EC2 atau membaca data sensitif yang disimpan di Amazon S3.
Untuk informasi selengkapnya tentang penandatanganan permintaan Kueri/REST AWS, harap lihat:
http://docs.amazonwebservices.com/general/latest/gr/signing_aws_api_requests.html
Untuk informasi selengkapnya tentang akses API yang dilindungi MFA, harap lihat:
http://docs.amazonwebservices.com/IAM/latest/UserGuide/MFAProtectedAPI.html
AWS ingin berterima kasih kepada beberapa orang berikut karena telah melaporkan masalah ini dan mendukung semangat kami untuk keamanan:
Martin Georgiev, Suman Jana, dan Vitaly Shmatikov dari University of Texas di Austin
Subodh Iyengar, Rishita Anubhai, serta Dan Boneh dari Stanford University
Keamanan adalah prioritas utama kami. Kami tetap berkomitmen untuk menyediakan beragam fitur, mekanisme, dan bantuan bagi pelanggan kami untuk mewujudkan infrastruktur AWS yang aman. Pertanyaan atau masalah yang terkait dengan keamanan AWS dapat dikirim ke aws-security@amazon.com.