2 พฤศจิกายน 2012
นักวิจัยด้านความปลอดภัยได้รายงานพฤติกรรมที่ไม่ถูกต้องในกลไกการยืนยันใบรับรอง SSL ของชุดเครื่องมือพัฒนาซอฟต์แวร์ (SDK) บางส่วนและเครื่องมืออินเทอร์เฟซการเขียนโปรแกรม (API) ที่ AWS และบุคคลที่สามเป็นผู้ดูแล โดยเฉพาะอย่างยิ่ง นักวิจัยได้ระบุเวอร์ชันของเครื่องมือ API ของ Elastic Cloud Compute (EC2), เครื่องมือ API ของ Elastic Load Balancing (ELB) และ SDK ของ Flexible Payments Software (FPS) ซึ่งอาจดำเนินการยืนยันใบรับรอง SSL ไม่ถูกต้อง การยืนยันใบรับรอง SSL ที่ไม่ถูกต้องที่รายงานในเครื่องมือ API ของ EC2 และ ELB อาจทำให้ผู้โจมตีแบบคนกลางสามารถอ่านคำขอ AWS REST/คำขอการสืบค้นที่ลงนามไว้สำหรับตำแหน่งข้อมูล API ของ (HTTPS) EC2 หรือ ELB ที่ปลอดภัย แต่ไม่สามารถแก้ไขได้สำเร็จ ปัญหาเหล่านี้ไม่อนุญาตให้ผู้โจมตีเข้าถึงอินสแตนซ์ของลูกค้าหรือจัดการข้อมูลของลูกค้า การยืนยันใบรับรอง SSL ที่ไม่ถูกต้องที่รายงานใน SDK ของ FPS อาจทำให้ผู้โจมตีสามารถอ่านคำขอ AWS REST ที่ลงนามไว้ได้ ลงนามคำขอ AWS REST สำหรับตำแหน่งข้อมูล API ของ (HTTPS) FPS ที่ปลอดภัย แต่ไม่สามารถแก้ไขได้สำเร็จ และอาจส่งผลกระทบต่อแอปพลิเคชันของผู้ค้าที่ใช้ Amazon Payments Software SDK เพื่อยืนยันการตอบสนองของ FPS ต่อการยืนยัน Instant Payment Notification
เพื่อแก้ไขปัญหาเหล่านี้ AWS ได้เปิดตัวเครื่องมือ SDK และ API ที่ได้รับผลกระทบเวอร์ชันใหม่ ซึ่งสามารถดูได้ที่นี่:
เครื่องมือ API ของ EC2
http://aws.amazon.com/developertools/351
เครื่องมือ API ของ ELB
http://aws.amazon.com/developertools/2536
ข้อมูลอัปเดตของซอฟต์แวร์ Amazon Payments
สหรัฐฯ: https://payments.amazon.com/sdui/sdui/about?nodeId=201033780
สหราชอาณาจักร: https://payments.amazon.co.uk/help?nodeId=201033780
เยอรมนี: https://payments.amazon.de/help?nodeId=201033780
AWS ได้แก้ไขปัญหาที่คล้ายคลึงกันสำหรับเครื่องมือ SDK และ API เพิ่มเติม การเปิดตัวเวอร์ชันใหม่ ซึ่งสามารถดูได้ที่นี่:
Boto
https://github.com/boto/boto
เครื่องมือ Auto Scaling Command Line
http://aws.amazon.com/developertools/2535
เครื่องมือ AWS CloudFormation Command Line
http://aws.amazon.com/developertools/AWS-CloudFormation/2555753788650372
แอปพลิเคชันการเริ่มต้นระบบโดยใช้ AWS CloudFormation
http://aws.amazon.com/developertools/4026240853893296
เครื่องมือการตรวจสอบ Amazon CloudFront สำหรับ Curl
http://aws.amazon.com/developertools/CloudFront/1878
เครื่องมือ Amazon CloudWatch Command Line
http://aws.amazon.com/developertools/2534
สคริปต์การตรวจสอบ Amazon CloudWatch
http://aws.amazon.com/code/8720044071969977
Amazon EC2 VM Import Connector สำหรับ VMware vCenter
http://aws.amazon.com/developertools/2759763385083070
เครื่องมือ AWS Elastic Beanstalk Command Line
http://aws.amazon.com/code/AWS-Elastic-Beanstalk/6752709412171743
ชุดเครื่องมือ Amazon ElastiCache Command Line
http://aws.amazon.com/developertools/Amazon-ElastiCache/2310261897259567
เครื่องมือ Amazon Mechanical Turk Command Line
http://aws.amazon.com/developertools/694
Amazon Mechanical Turk SDK สำหรับ .NET
http://aws.amazon.com/code/SDKs/923
Amazon Mechanical Turk SDK สำหรับ Perl
http://aws.amazon.com/code/SDKs/922
เครื่องมือการตรวจสอบ Amazon Route 53 สำหรับ Curl
http://aws.amazon.com/code/9706686376855511
ไลบรารี Ruby สำหรับ Amazon Web Services
http://aws.amazon.com/code/SDKs/793
เครื่องมืออินเทอร์เฟซ Amazon Simple Notification Service Command Line
http://aws.amazon.com/developertools/3688
เครื่องมือการตรวจสอบ Amazon S3 สำหรับ Curl
http://aws.amazon.com/developertools/Amazon-S3/128
นอกจากการใช้เครื่องมือ SDK และ API ของ AWS ล่าสุดแล้ว ยังแนะนำให้ลูกค้าอัปเดตซอฟต์แวร์พื้นฐานที่ขึ้นต่อกัน สามารถดูเวอร์ชันที่แนะนำสำหรับซอฟต์แวร์พื้นฐานที่ขึ้นต่อกันได้ในไฟล์ README ของชุดเครื่องมือ SDK หรือ CLI
AWS ยังคงแนะนำการใช้ SSL เพื่อความปลอดภัยเพิ่มเติมและเพื่อปกป้องคำขอของ AWS หรือการตอบสนองจากการดูระหว่างการรับส่งข้อมูล คำขอ AWS REST/คำขอการสืบค้นที่ลงนามไว้ผ่าน HTTP หรือ HTTPS ได้รับการปกป้องไม่ให้มีการแก้ไขได้จากบุคคลที่สาม และการเข้าถึง API ที่ป้องกันด้วย MFA โดยใช้ AWS Multi-Factor Authentication (MFA) จะมอบการรักษาความปลอดภัยเป็นพิเศษอีกชั้นหนึ่ง เช่น การยกเลิก Amazon EC2 instance หรือการอ่านข้อมูลสำคัญที่เก็บไว้ใน Amazon S3
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการลงนามคำขอ AWS REST/คำขอการสืบค้น โปรดดูที่:
http://docs.amazonwebservices.com/general/latest/gr/signing_aws_api_requests.html
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการเข้าถึง API ที่ป้องกันด้วย MFA โปรดดูที่:
http://docs.amazonwebservices.com/IAM/latest/UserGuide/MFAProtectedAPI.html
AWS ขอขอบคุณบุคคลดังต่อไปนี้ที่รายงานปัญหาเหล่านี้และมีส่วนร่วมต่อความมุ่งมั่นเพื่อความปลอดภัยของเรา:
Martin Georgiev, Suman Jana และ Vitaly Shmatikov จากมหาวิทยาลัยเท็กซัส ออสติน
Subodh Iyengar, Rishita Anubhai และ Dan Boneh จากมหาวิทยาลัยสแตนฟอร์ด
ความปลอดภัยเป็นภารกิจที่สำคัญที่สุดของเรา เรายังคงมุ่งมั่นที่จะมอบคุณสมบัติ กลไกและความช่วยเหลือให้กับลูกค้าของเราเพื่อให้ทราบถึงโครงสร้างพื้นฐานของ AWS ที่ปลอดภัยอย่างต่อเนื่อง สามารถแจ้งคำถามหรือข้อกังวลเกี่ยวกับความปลอดภัยของ AWS ให้เราทราบได้ทาง aws-security@amazon.com