2012 年 11 月 2 日
安全研究人員報告,由 AWS 和第三方維護的某些軟體開發套件 (SDK) 和應用程式開發介面 (API) 工具中,SSL 憑證驗證機制發生錯誤行為。具體而言,研究人員已發現可能會執行不正確 SSL 憑證驗證的 Elastic Cloud Compute (EC2) API 工具版本、Elastic Load Balancing (ELB) API 工具版本和 Flexible Payments Software (FPS) SDK 版本。EC2 和 ELB API 工具中報告的不正確 SSL 憑證驗證可能會導致中間人攻擊者讀取 (但無法成功修改) 預定用於安全 (HTTPS) EC2 或 ELB API 端點的已簽署 AWS REST/查詢請求。這些問題並不會讓攻擊者得以存取客戶執行個體或操縱客戶資料。FPS SDK 中報告的不正確 SSL 憑證驗證可能會導致攻擊者讀取 (但無法成功修改) 預定用於安全 (HTTPS) FPS API 端點的已簽署 AWS REST 請求,同時亦可能會影響利用 Amazon Payments Software SDK 來驗證對即時付款通知驗證之 FPS 回應的商家應用程式。
為了解決這些問題,AWS 發佈了受影響之 SDK 和 API 工具的更新版本,您可在以下位置取得:
EC2 API 工具
http://aws.amazon.com/developertools/351
ELB API 工具
http://aws.amazon.com/developertools/2536
Amazon Payments Software 更新
美國:https://payments.amazon.com/sdui/sdui/about?nodeId=201033780
英國:https://payments.amazon.co.uk/help?nodeId=201033780
德國:https://payments.amazon.de/help?nodeId=201033780
AWS 已針對其他 SDK 和 API 工具解決了類似問題;並將發佈更新的版本,您可在以下網址取得:
Boto
https://github.com/boto/boto
Auto Scaling 命令列工具
http://aws.amazon.com/developertools/2535
AWS CloudFormation 命令列工具
http://aws.amazon.com/developertools/AWS-CloudFormation/2555753788650372
使用 AWS CloudFormation 引導操作應用程式
http://aws.amazon.com/developertools/4026240853893296
適用於 Curl 的 Amazon CloudFront 身份驗證工具
http://aws.amazon.com/developertools/CloudFront/1878
Amazon CloudWatch 命令列工具
http://aws.amazon.com/developertools/2534
適用於 Linux 的 Amazon CloudWatch 監控指令碼
http://aws.amazon.com/code/8720044071969977
適用於 VMware vCenter 的 Amazon EC2 VM 匯入連接器
http://aws.amazon.com/developertools/2759763385083070
AWS Elastic Beanstalk 命令列工具
http://aws.amazon.com/code/AWS-Elastic-Beanstalk/6752709412171743
Amazon ElastiCache 命令列工具組
http://aws.amazon.com/developertools/Amazon-ElastiCache/2310261897259567
Amazon Mechanical Turk 命令列工具
http://aws.amazon.com/developertools/694
適用於 .NET 的 Amazon Mechanical Turk SDK
http://aws.amazon.com/code/SDKs/923
適用於 Perl 的 Amazon Mechanical Turk SDK
http://aws.amazon.com/code/SDKs/922
適用於 Curl 的 Amazon Route 53 身份驗證工具
http://aws.amazon.com/code/9706686376855511
適用於 Amazon Web Services 的 Ruby 程式庫
http://aws.amazon.com/code/SDKs/793
Amazon Simple Notification Service 命令列介面工具
http://aws.amazon.com/developertools/3688
適用於 Curl 的 Amazon S3 身份驗證工具
http://aws.amazon.com/developertools/Amazon-S3/128
除了使用最新的 AWS SDK 和 API 工具外,我們也鼓勵客戶更新基礎軟體相依性。您可在 SDK 或 CLI 工具套件的 README 檔案中,找到關於基礎軟體相依性的建議版本。
AWS 持續建議使用 SSL 來提升安全性,並防止其他人在傳輸過程中檢視 AWS 請求或其回應。透過 HTTP 或 HTTPS 簽署的 AWS REST/查詢請求可受到保護,而不會遭到第三方修改,而且使用 AWS Multi-Factor Authentication (MFA) 進行受 MFA 保護的 API 存取可提供一層額外的安全性,例如終止 Amazon EC2 執行個體,或讀取儲存在 Amazon S3 中的敏感資料。
如需簽署 AWS REST/查詢請求的詳細資訊,請參閱:
http://docs.amazonwebservices.com/general/latest/gr/signing_aws_api_requests.html
如需受 MFA 保護之 API 存取的詳細資訊,請參閱:
http://docs.amazonwebservices.com/IAM/latest/UserGuide/MFAProtectedAPI.html
AWS 感謝以下人員報告這些問題並與我們一起致力於改善安全性:
美國德州大學奧斯汀分校 (The University of Texas at Austin) 的 Martin Georgiev、Suman Jana 和 Vitaly Shmatikov
美國史丹佛大學 (Stanford University) 的 Subodh Iyengar、Rishita Anubhai 和 Dan Boneh
安全性是我們的首要考量。我們始終致力於為客戶提供各種功能、機制與協助,以打造安全的 AWS 基礎架構。有關 AWS 安全性的問題或疑慮可以透過 aws-security@amazon.com 告知我們。