02 ноября 2012 г.
Сотрудники отдела безопасности сообщили о неправильном поведении при использовании механизмов проверки сертификатов SSL в случае некоторых средств интерфейсов прикладного программирования (API) и комплектов средств разработки ПО (SDK), которые обслуживаются AWS и сторонними лицами. Они определили версии средств API Elastic Cloud Compute (EC2), средств Elastic Load Balancing (ELB) и SDK Flexible Payments Software (FPS), которые могут неправильно выполнять проверку сертификатов SSL. Неправильная проверка сертификатов SSL в средствах API ELB и EC2 теоретически может позволить злоумышленнику, проводящему атаку «человек посередине», читать подписанные запросы AWS REST/Query, предназначенные для защищенных адресов (HTTPS) API ELB или EC2, но не изменять их. Эти ошибки не позволяют злоумышленникам получать доступ к инстансам пользователей или выполнять действия над данными пользователей. Неправильная проверка сертификатов SSL в SDK FPS, о которой стало известно, теоретически может позволить злоумышленнику читать подписанные запросы AWS REST, предназначенные для защищенных адресов API FPS (HTTPS), но не изменять их. Она также может повлиять на приложения из сферы торговли, в которых используются SDK Amazon Payments Software для проверки откликов FPS на проверку в отношении оповещения об экспресс-оплате.
Для решения этих проблем AWS выпустила обновленные версии соответствующих средств API и SDK. Их можно найти здесь:
Средства API EC2
http://aws.amazon.com/developertools/351
Средства API ELB
http://aws.amazon.com/developertools/2536
Обновления Amazon Payments Software
US: https://payments.amazon.com/sdui/sdui/about?nodeId=201033780
UK: https://payments.amazon.co.uk/help?nodeId=201033780
DE: https://payments.amazon.de/help?nodeId=201033780
AWS устранила похожие проблемы в отношении дополнительных средств API и SDK, выпустив обновленные версии. Они доступны здесь:
Boto
https://github.com/boto/boto
Инструмент командной строки Auto Scaling
http://aws.amazon.com/developertools/2535
Инструменты командной строки AWS CloudFormation
http://aws.amazon.com/developertools/AWS-CloudFormation/2555753788650372
Начальная загрузка приложений посредством AWS CloudFormation
http://aws.amazon.com/developertools/4026240853893296
Средство аутентификации Amazon CloudFront для Curl
http://aws.amazon.com/developertools/CloudFront/1878
Инструмент командной строки Amazon CloudWatch
http://aws.amazon.com/developertools/2534
Скрипты мониторинга Amazon CloudWatch для Linux
http://aws.amazon.com/code/8720044071969977
Amazon EC2 VM Import Connector для VMware vCenter
http://aws.amazon.com/developertools/2759763385083070
Инструмент командной строки AWS Elastic Beanstalk
http://aws.amazon.com/code/AWS-Elastic-Beanstalk/6752709412171743
Инструментарий командной строки Amazon ElastiCache
http://aws.amazon.com/developertools/Amazon-ElastiCache/2310261897259567
Комплект инструментов командной строки Amazon Mechanical Turk
http://aws.amazon.com/developertools/694
SDK Amazon Mechanical Turk для .NET
http://aws.amazon.com/code/SDKs/923
SDK Amazon Mechanical Turk для Perl
http://aws.amazon.com/code/SDKs/922
Средство аутентификации Amazon Route 53 для Curl
http://aws.amazon.com/code/9706686376855511
Библиотеки Ruby для Amazon Web Services
http://aws.amazon.com/code/SDKs/793
Средство интерфейса командной строки сервиса Amazon Simple Notification Service
http://aws.amazon.com/developertools/3688
Средство аутентификации Amazon S3 для Curl
http://aws.amazon.com/developertools/Amazon-S3/128
Мы советуем не только использовать самые новые средства API и SDK AWS, но и обновить соответствующие зависимости программного обеспечения. Рекомендуемые версии для соответствующих зависимостей программного обеспечения указаны в файле README, вложенном в пакет средств интерфейса командной строки или SDK.
AWS по-прежнему рекомендует применять SSL для обеспечения дополнительного уровня защиты, а также для защиты запросов AWS или запросов пользователей от просмотра во время передачи. Подписанные запросы AWS REST/Query с использованием HTTP или HTTPS защищены от стороннего изменения, а доступ к API с использованием AWS Multi-Factor Authentication (MFA) обеспечивает дополнительный уровень защиты в отношении действий, влекущих за собой значительные изменения (например, удаление инстансов Amazon EC2 или чтение конфиденциальных данных в Amazon S3).
Дополнительные сведения о запросах AWS REST/Query:
http://docs.amazonwebservices.com/general/latest/gr/signing_aws_api_requests.html
Дополнительные сведения о доступе к API с использованием MFA:
http://docs.amazonwebservices.com/IAM/latest/UserGuide/MFAProtectedAPI.html
AWS благодарит следующих людей за уведомление об этих проблемах и за то, что разделили с нами стремление к обеспечению безопасности:
Мартин Георгиев, Суман Яна и Виталий Шматиков из Техасского университета в Остине;
Субодх Лиенгар, Ришита Анубхай и Дэн Бонех из Стэнфордского университета.
Безопасность – наш главный приоритет. Мы стремимся предоставлять компоненты, механизмы и помощь нашим пользователям для реализации безопасной инфраструктуры AWS. Если возникнут вопросы или опасения, касающиеся безопасности AWS, сообщите о них, написав по адресу aws-security@amazon.com.