14/11/2011
Amazon Web Services (EC2) był podatny na atak, który umożliwiał dostęp do niektórych kont i danych użytkowników.
Ataki na EC2/Eucalyptus
Niemieccy badacze przetestowali chmurę Amazonu pod kątem ataków XML signature wrapping umożliwiających spoofing żądań SOAP. Badaczom udało się przejąć kontrolę administracyjną nad “chmurami” poszczególnych użytkowników — byli w stanie dodawać i kasować obrazy maszyn.
Dodatkowo znalezione zostały XSS-y, które umożliwiły dostęp do danych użytkowników, w tym tokenów i haseł. Badacze twierdzą, że za pomocą swoich ataków mogli przejąć sesje użytkowników EC2.
Amazon w swoim oświadczeniu dla CRN stwierdził, że błąd dotyczył niewielkiego procetu wywołań API AWS, które nie korzystały z węzłów z SSL-em. Dodatkowo, Amazon twierdzi, że użytkownicy, którzy stosują dobre praktyki bezpieczeństwa nie byli zagrożeni. Przedstawiciel Amazonu dodał także, że błędy zostały poprawione kilka miesięcy temu.
Hmmm, w usłudze wykazano błędy, których nie było, bo rzeczone błędy które były poprawione kilka miesięcy wcześniej? Przecież rozwiązanie tego problemu logicznego wyłoży każdy algorytm ;-)
Pieniadze nie rozumieja logiki.
“Badaczom udało im się przejąć” “procetu”
F7 w Macach nie działa?
A co robi F7 na nie Macach?
@naresh: spellcheck.
Link do “XML signature wrapping” chyba nie działa (przekierowuje na http://www.nds.rub.de/chair/news/)
Taka?:
http://nethskie.deviantart.com/art/Punch-Hole-Cloud-182596969