2 novembre 2012
Gli esperti di sicurezza hanno segnalato un comportamento errato nei meccanismi di convalida del certificato SSL di alcuni kit di sviluppo software (SDK) e strumenti di interfaccia di programmazione delle applicazioni (API) gestiti da AWS e terze parti. Nello specifico, sono state individuate versioni di strumenti API di Elastic Cloud Compute (EC2), strumenti API di Elastic Load Balancing (ELB) e SDK di Flexible Payments Software (FPS) che potrebbero non eseguire correttamente la convalida dei certificati SSL. L'errata convalida del certificato SSL riscontrata negli strumenti API di EC2 ed ELB potrebbe permettere a un malintenzionato man in the middle di leggere, ma non di modificare efficacemente, le richieste REST/query di AWS firmate destinate a endpoint di API EC2 o ELB (HTTPS) sicuri. Tali problemi non consentono a un malintenzionato di accedere alle istanze del cliente o di manipolare i suoi dati. L'errata convalida del certificato SSL riscontrata negli SDK di FPS potrebbe permettere a un malintenzionato di leggere, ma non di modificare efficacemente, le richieste REST di AWS desinate a endpoint di API FPS (HTTPS) sicuri e potrebbe anche influire sulle applicazioni commerciali che usano gli SDK di Amazon Payments Software per verificare le risposte FPS alla verifica delle notifiche di pagamento istantaneo.
Per contrastare tali problemi, AWS ha pubblicato versioni aggiornate degli SDK e degli strumenti API interessati, che sono disponibili qui:
Strumenti API di EC2
http://aws.amazon.com/developertools/351
Strumenti API di ELB
http://aws.amazon.com/developertools/2536
Aggiornamenti per Amazon Payments Software
US: https://payments.amazon.com/sdui/sdui/about?nodeId=201033780
UK: https://payments.amazon.co.uk/help?nodeId=201033780
DE: https://payments.amazon.de/help?nodeId=201033780
AWS ha adottato contromisure per problemi simili nel caso di altri SDK e strumenti API, pubblicando le versioni aggiornate disponibili qui:
Boto
https://github.com/boto/boto
Strumento a riga di comando di Auto Scaling
http://aws.amazon.com/developertools/2535
Strumenti a riga di comando di AWS CloudFormation
http://aws.amazon.com/developertools/AWS-CloudFormation/2555753788650372
Applicazioni di bootstrapping che usano AWS CloudFormation
http://aws.amazon.com/developertools/4026240853893296
Strumento di autenticazione di Amazon CloudFront per Curl
http://aws.amazon.com/developertools/CloudFront/1878
Strumento a riga di comando di Amazon CloudWatch
http://aws.amazon.com/developertools/2534
Script di monitoraggio di Amazon CloudWatch per Linux
http://aws.amazon.com/code/8720044071969977
Amazon EC2 VM Import Connector per VMware vCenter
http://aws.amazon.com/developertools/2759763385083070
Strumento a riga di comando di AWS Elastic Beanstalk
http://aws.amazon.com/code/AWS-Elastic-Beanstalk/6752709412171743
Kit di strumenti a riga di comando di Amazon ElastiCache
http://aws.amazon.com/developertools/Amazon-ElastiCache/2310261897259567
Strumenti a riga di comando di Amazon Mechanical Turk
http://aws.amazon.com/developertools/694
SDK di Amazon Mechanical Turk per .NET
http://aws.amazon.com/code/SDKs/923
SDK di Amazon Mechanical Turk per Perl
http://aws.amazon.com/code/SDKs/922
Strumento di autenticazione di Amazon Route 53 per Curl
http://aws.amazon.com/code/9706686376855511
Librerie Ruby per Amazon Web Services
http://aws.amazon.com/code/SDKs/793
Strumento di interfaccia a linea di comando di Amazon Simple Notification Service
http://aws.amazon.com/developertools/3688
Strumento di autenticazione di Amazon S3 per Curl
http://aws.amazon.com/developertools/Amazon-S3/128
Oltre a usare gli SDK e gli strumenti API di AWS più recenti, invitiamo i clienti ad aggiornare le dipendenze di software di base. Le versioni consigliate per le dipendenze sono riportate nel file README del pacchetto di SDK o strumenti CLI.
AWS continua a raccomandare l'uso di SSL per rafforzare la sicurezza e proteggere le richieste di AWS o le relative risposte da sguardi indesiderati durante il transito. Le richieste REST/query di AWS firmate attraverso HTTP o HTTPS sono protette dalla modifica di terze parti e l'accesso alle API protetto da AWS Multi-Factor Authentication (MFA) garantisce un ulteriore livello di sicurezza per le operazioni più complesse, come la determinazione delle istanze di Amazon EC2 o la lettura dei dati sensibili memorizzati in Amazon S3.
Per ulteriori informazioni sulla firma delle richieste REST/query di AWS, consultare:
http://docs.amazonwebservices.com/general/latest/gr/signing_aws_api_requests.html
Per ulteriori informazioni sull'accesso alle API protetto da MFA, consultare:
http://docs.amazonwebservices.com/IAM/latest/UserGuide/MFAProtectedAPI.html
AWS ringrazia sentitamente le seguenti persone per aver segnalato i problemi e condividere la nostra passione per la sicurezza:
Martin Georgiev, Suman Jana e Vitaly Shmatikov della University of Texas di Austin
Subodh Iyengar, Rishita Anubhai e Dan Boneh della Stanford University
La sicurezza è da sempre la maggiore priorità per AWS. Siamo costantemente impegnati a offrire funzionalità, meccanismi e assistenza affinché i clienti realizzino una struttura AWS protetta. È possibile inviare domande o segnalare dubbi relativi alla sicurezza di AWS all'indirizzo e-mail aws-security@amazon.com.