Cloud Amazonu umožňoval útočníkům manipulaci s virtuálními stroji

Pavel Houser , 01. listopad 2011 07:57 0 komentářů

Bezpečnostní výzkumníci objevili, že webové služby Amazonu obsahovaly zranitelnost, která útočníkům mohla dovolit ovládnout část cloudových služeb a provádět zde operace s vysokými uživatelskými oprávněními.

V rámci služeb EC2 by zneužití chyby umožnilo narušitelům např. spouštět nebo zastavovat virtuální stroje či vytvářet nové obrazy. Hlavní příčinou zranitelnosti je údajně špatně implementované šifrování/autentizace.

Na postup upozornili vědci z německé univerzity Ruhr-Universität. Útok využíval XML podpisů, které mohly manipulovat se zprávami protokolu SOAP tak, že je autentizační systém pokládal za pravé. Jádro problému mělo spočívat v tom, že ověření podpisu a zpracování XML se v rámci rozhraní Amazonu provádělo odděleně, což do systému umožňovalo propašovat nepodepsaný kód.

Zranitelnosti tohoto druhu byly poprvé objeveny již v roce 2005 a od té doby se s nimi cloudové systémy v té či oné míře stále potýkají. Podobným problémem podle výzkumníků trpěl např. i open source systém Eucalyptus, což je framework pro instalace privátních cloudů (de facto implementace API Amazon EC2). Možným řešením je změnit způsob, jak se podepisují podstromy. Stejní lidé rovněž uvádějí, že služby Amazonu jsou zranitelné i pomocí útoků cross-site scripting.

Výzkumníci před svou prezentací upozornili na problémy Amazon i tvůrce systému Eucalyptus. V tuto chvíli jsou již bezpečnostní chyby údajně odstraněny.

Zdroj: The Register


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Vodafone zvýšil do září počet zákazníků na 3,54 milionu

ČTK , 04. prosinec 2016 18:00

Mobilní operátor Vodafone zvýšil do konce září počet zákazníků na českém trhu meziročně o 146.000 na...

Více 0 komentářů

Nový škodlivý program ukradl údaje k milionu účtů Google

ČTK , 02. prosinec 2016 14:00

Nový škodlivý program Goolian narušil bezpečnost více než jednoho milionu účtů Google. Šíří se na za...

Více 0 komentářů

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

Starší zprávičky

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů

Akcie Samsungu stouply na nový rekord

ČTK , 01. prosinec 2016 12:00

Akcie jihokorejské společnosti Samsung Electronics dnes stouply o více než čtyři procenta na nový re...

Více 0 komentářů

FBI bude moci s povolením soudu pronikat do jakýchkoli počítačů

ČTK , 01. prosinec 2016 10:30

V americkém Senátu dnes selhal poslední pokus o zablokování rozšířených policejních pravomocí, které...

Více 2 komentářů

Gartner: Prodej tabletů v ČR letos klesne o osm procent na 1,1 mil

ČTK , 30. listopad 2016 14:00

Zájem o tablety letos dále klesá. Prodej tabletů a hybridních notebooků na českém trhu se letos sníž...

Více 0 komentářů