2 พฤศจิกายน 2012

นักวิจัยด้านความปลอดภัยได้รายงานพฤติกรรมที่ไม่ถูกต้องในกลไกการยืนยันใบรับรอง SSL ของชุดเครื่องมือพัฒนาซอฟต์แวร์ (SDK) บางส่วนและเครื่องมืออินเทอร์เฟซการเขียนโปรแกรม (API) ที่ AWS และบุคคลที่สามเป็นผู้ดูแล โดยเฉพาะอย่างยิ่ง นักวิจัยได้ระบุเวอร์ชันของเครื่องมือ API ของ Elastic Cloud Compute (EC2), เครื่องมือ API ของ Elastic Load Balancing (ELB) และ SDK ของ Flexible Payments Software (FPS) ซึ่งอาจดำเนินการยืนยันใบรับรอง SSL ไม่ถูกต้อง การยืนยันใบรับรอง SSL ที่ไม่ถูกต้องที่รายงานในเครื่องมือ API ของ EC2 และ ELB อาจทำให้ผู้โจมตีแบบคนกลางสามารถอ่านคำขอ AWS REST/คำขอการสืบค้นที่ลงนามไว้สำหรับตำแหน่งข้อมูล API ของ (HTTPS) EC2 หรือ ELB ที่ปลอดภัย แต่ไม่สามารถแก้ไขได้สำเร็จ ปัญหาเหล่านี้ไม่อนุญาตให้ผู้โจมตีเข้าถึงอินสแตนซ์ของลูกค้าหรือจัดการข้อมูลของลูกค้า การยืนยันใบรับรอง SSL ที่ไม่ถูกต้องที่รายงานใน SDK ของ FPS อาจทำให้ผู้โจมตีสามารถอ่านคำขอ AWS REST ที่ลงนามไว้ได้ ลงนามคำขอ AWS REST สำหรับตำแหน่งข้อมูล API ของ (HTTPS) FPS ที่ปลอดภัย แต่ไม่สามารถแก้ไขได้สำเร็จ และอาจส่งผลกระทบต่อแอปพลิเคชันของผู้ค้าที่ใช้ Amazon Payments Software SDK เพื่อยืนยันการตอบสนองของ FPS ต่อการยืนยัน Instant Payment Notification

เพื่อแก้ไขปัญหาเหล่านี้ AWS ได้เปิดตัวเครื่องมือ SDK และ API ที่ได้รับผลกระทบเวอร์ชันใหม่ ซึ่งสามารถดูได้ที่นี่:

เครื่องมือ API ของ EC2
http://aws.amazon.com/developertools/351

เครื่องมือ API ของ ELB
http://aws.amazon.com/developertools/2536

ข้อมูลอัปเดตของซอฟต์แวร์ Amazon Payments
สหรัฐฯ: https://payments.amazon.com/sdui/sdui/about?nodeId=201033780
สหราชอาณาจักร: https://payments.amazon.co.uk/help?nodeId=201033780
เยอรมนี: https://payments.amazon.de/help?nodeId=201033780

 

AWS ได้แก้ไขปัญหาที่คล้ายคลึงกันสำหรับเครื่องมือ SDK และ API เพิ่มเติม การเปิดตัวเวอร์ชันใหม่ ซึ่งสามารถดูได้ที่นี่:

Boto
https://github.com/boto/boto

เครื่องมือ Auto Scaling Command Line
http://aws.amazon.com/developertools/2535

เครื่องมือ AWS CloudFormation Command Line
http://aws.amazon.com/developertools/AWS-CloudFormation/2555753788650372

แอปพลิเคชันการเริ่มต้นระบบโดยใช้ AWS CloudFormation
http://aws.amazon.com/developertools/4026240853893296

เครื่องมือการตรวจสอบ Amazon CloudFront สำหรับ Curl
http://aws.amazon.com/developertools/CloudFront/1878

เครื่องมือ Amazon CloudWatch Command Line
http://aws.amazon.com/developertools/2534

สคริปต์การตรวจสอบ Amazon CloudWatch
http://aws.amazon.com/code/8720044071969977

Amazon EC2 VM Import Connector สำหรับ VMware vCenter
http://aws.amazon.com/developertools/2759763385083070

เครื่องมือ AWS Elastic Beanstalk Command Line
http://aws.amazon.com/code/AWS-Elastic-Beanstalk/6752709412171743

ชุดเครื่องมือ Amazon ElastiCache Command Line
http://aws.amazon.com/developertools/Amazon-ElastiCache/2310261897259567

เครื่องมือ Amazon Mechanical Turk Command Line
http://aws.amazon.com/developertools/694

Amazon Mechanical Turk SDK สำหรับ .NET
http://aws.amazon.com/code/SDKs/923

Amazon Mechanical Turk SDK สำหรับ Perl
http://aws.amazon.com/code/SDKs/922

เครื่องมือการตรวจสอบ Amazon Route 53 สำหรับ Curl
http://aws.amazon.com/code/9706686376855511

ไลบรารี Ruby สำหรับ Amazon Web Services
http://aws.amazon.com/code/SDKs/793

เครื่องมืออินเทอร์เฟซ Amazon Simple Notification Service Command Line
http://aws.amazon.com/developertools/3688

เครื่องมือการตรวจสอบ Amazon S3 สำหรับ Curl
http://aws.amazon.com/developertools/Amazon-S3/128

นอกจากการใช้เครื่องมือ SDK และ API ของ AWS ล่าสุดแล้ว ยังแนะนำให้ลูกค้าอัปเดตซอฟต์แวร์พื้นฐานที่ขึ้นต่อกัน สามารถดูเวอร์ชันที่แนะนำสำหรับซอฟต์แวร์พื้นฐานที่ขึ้นต่อกันได้ในไฟล์ README ของชุดเครื่องมือ SDK หรือ CLI

AWS ยังคงแนะนำการใช้ SSL เพื่อความปลอดภัยเพิ่มเติมและเพื่อปกป้องคำขอของ AWS หรือการตอบสนองจากการดูระหว่างการรับส่งข้อมูล คำขอ AWS REST/คำขอการสืบค้นที่ลงนามไว้ผ่าน HTTP หรือ HTTPS ได้รับการปกป้องไม่ให้มีการแก้ไขได้จากบุคคลที่สาม และการเข้าถึง API ที่ป้องกันด้วย MFA โดยใช้ AWS Multi-Factor Authentication (MFA) จะมอบการรักษาความปลอดภัยเป็นพิเศษอีกชั้นหนึ่ง เช่น การยกเลิก Amazon EC2 instance หรือการอ่านข้อมูลสำคัญที่เก็บไว้ใน Amazon S3

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการลงนามคำขอ AWS REST/คำขอการสืบค้น โปรดดูที่:
http://docs.amazonwebservices.com/general/latest/gr/signing_aws_api_requests.html

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการเข้าถึง API ที่ป้องกันด้วย MFA โปรดดูที่:
http://docs.amazonwebservices.com/IAM/latest/UserGuide/MFAProtectedAPI.html

AWS ขอขอบคุณบุคคลดังต่อไปนี้ที่รายงานปัญหาเหล่านี้และมีส่วนร่วมต่อความมุ่งมั่นเพื่อความปลอดภัยของเรา:

Martin Georgiev, Suman Jana และ Vitaly Shmatikov จากมหาวิทยาลัยเท็กซัส ออสติน

Subodh Iyengar, Rishita Anubhai และ Dan Boneh จากมหาวิทยาลัยสแตนฟอร์ด

ความปลอดภัยเป็นภารกิจที่สำคัญที่สุดของเรา เรายังคงมุ่งมั่นที่จะมอบคุณสมบัติ กลไกและความช่วยเหลือให้กับลูกค้าของเราเพื่อให้ทราบถึงโครงสร้างพื้นฐานของ AWS ที่ปลอดภัยอย่างต่อเนื่อง สามารถแจ้งคำถามหรือข้อกังวลเกี่ยวกับความปลอดภัยของ AWS ให้เราทราบได้ทาง aws-security@amazon.com