02 Kasım 2012
Güvenlik araştırmacıları, AWS ve üçüncü taraflarca sağlanan bazı yazılım geliştirme setleri (SDK’lar) ve uygulama programlama arayüzü (API) araçlarının SSL sertifika doğrulama mekanizmalarında yanlış davranış tespit etmişlerdir. Araştırmacılar özellikle SSL sertifikasının yanlış doğrulamasını yapabilecek Elastic Cloud Compute (EC2) API araçları, Elastic Load Balancing (ELB) API araçları ve Flexible Payments Software (FPS) SDK’larının sürümlerini tanımlamışlardır. EC2 ve ELB API araçlarında belirtilen yanlış SSL sertifika doğrulaması, güvenli (HTTPS) EC2 veya ELB API uç noktaları için istenen onaylanmış AWS REST/Query taleplerinin bir ortadaki adam saldırganı tarafından okunmasına muhtemelen izin verebilirken başarılı bir şekilde değiştirilmesine izin vermez. Bu sorunlar saldırganın, müşteri bulut sunucularına erişmesine veya müşteri verilerini işlemesine izin vermez. FPS SDK’larda belirtilen yanlış SSL sertifika doğrulaması muhtemelen, bir saldırganın güvenli (HTTPS) FPS API uç noktalar için istenen onaylanmış AWS REST taleplerini okumasına izin verirken başarılı bir şekilde değiştirmesine izin vermez. Aynı zamanda Amazon Payments Yazılımı SDK’ları, Anında Ödeme Bilgilendirme doğrulamasına verilen FPS yanıtlarını doğrulamak için kullanan satıcı uygulamalarını da etkileyebilir.
Bu sorunları ele almak için AWS, aşağıda bulabileceğiniz bu durumdan etkilenen SDK’ların ve API araçlarının güncellenmiş sürümlerini yayınlamıştır.
EC2 API Araçları
http://aws.amazon.com/developertools/351
ELB API Araçları
http://aws.amazon.com/developertools/2536
Amazon Payments Yazılım Güncellemeleri
ABD: https://payments.amazon.com/sdui/sdui/about?nodeId=201033780
Birleşik Krallık: https://payments.amazon.co.uk/help?nodeId=201033780
Almanya: https://payments.amazon.de/help?nodeId=201033780
AWS aşağıda bulabileceğiniz güncellenmiş sürümlerini yayınlayarak daha fazla SDK’da ve API aracındaki benzer sorunları işlemiştir.
Boto
https://github.com/boto/boto
Otomatik Ölçeklendirme Komut Satırı Aracı
http://aws.amazon.com/developertools/2535
AWS CloudFormation Komut Satırı Araçları
http://aws.amazon.com/developertools/AWS-CloudFormation/2555753788650372
AWS CloudFormation kullanan Ön Yükleme Uygulamaları
http://aws.amazon.com/developertools/4026240853893296
Amazon CloudFront Authentication Tool for Curl
http://aws.amazon.com/developertools/CloudFront/1878
Amazon CloudWatch Komut Satırı Aracı
http://aws.amazon.com/developertools/2534
Amazon CloudWatch Monitoring Scripts for Linux
http://aws.amazon.com/code/8720044071969977
Amazon EC2 VM Import Connector for VMware vCenter
http://aws.amazon.com/developertools/2759763385083070
AWS Elastic Beanstalk Komut Satırı Aracı
http://aws.amazon.com/code/AWS-Elastic-Beanstalk/6752709412171743
Amazon ElastiCache Komut Satırı Araç Seti
http://aws.amazon.com/developertools/Amazon-ElastiCache/2310261897259567
Amazon Mechanical Turk Komut Satırı Araçları
http://aws.amazon.com/developertools/694
Amazon Mechanical Turk SDK for .NET
http://aws.amazon.com/code/SDKs/923
Amazon Mechanical Turk SDK for Perl
http://aws.amazon.com/code/SDKs/922
Amazon Route 53 Authentication Tool for Curl
http://aws.amazon.com/code/9706686376855511
Ruby Libraries for Amazon Web Services
http://aws.amazon.com/code/SDKs/793
Amazon Simple Notification Service Komut Satırı Arayüz Aracı
http://aws.amazon.com/developertools/3688
Amazon S3 Authentication Tool for Curl
http://aws.amazon.com/developertools/Amazon-S3/128
En son sürüm AWS SDK’ları ve API araçlarını kullanmanın yanı sıra, müşteriler temel yazılım bağımlılıklarını güncellemek için teşvik ediliyorlar. Temel yazılım bağımlılıklarının önerilen sürümlerini SDK veya CLI araç paketinin README dosyasında bulabilirsiniz.
AWS ek güvenlik olarak ve AWS taleplerini veya yanıtlarını taşıma durumundayken görüntülenmesine karşı korumak için SSL kullanımını önermeye devam etmektedir. HTTP veya HTTPS aracılığıyla imzalanmış AWS REST/Query talepleri, AWS Multi-Factor Authentication (MFA) kullanarak üçüncü taraf değişiklikleri ve MFA korumalı API erişiminden korunmaktadır. Bu da Amazon EC2 bulut sunucularını sonlandırmak veya Amazon S3’te depolanan hassas verileri okumak gibi güçlü işlemler için ekstra bir güvenlik katmanı sağlar.
AWS REST/Query taleplerinin onaylanması ile ilgili daha fazla bilgi için lütfen şu adresi ziyaret edin:
http://docs.amazonwebservices.com/general/latest/gr/signing_aws_api_requests.html
MFA korumalı API erişimi hakkında daha fazla bilgi için lütfen aşağıdaki adresi ziyaret edin:
http://docs.amazonwebservices.com/IAM/latest/UserGuide/MFAProtectedAPI.html
AWS, bu sorunları bildiren ve bizimle birlikte güvenlik tutkumuzu paylaşan şu kişilere teşekkür etmek istiyor:
Austin Texas Üniversitesi’nden Martin Georgiev, Suman Jana ve Vitaly Shmatikov
Stanford Üniversitesi’nden Subodh Iyengar, Rishita Anubhai ve Dan Boneh
Güvenlik en büyük önceliğimizdir. Güvenli bir AWS altyapısı sağlamak için kendimizi müşterilerimize özellikler, mekanizmalar ve yardım sağlamaya adadık. AWS güvenliğiyle ilgili sorularınızı veya kaygılarınızıaws-security@amazon.com aracılığıyla bize bildirebilirsiniz.