トピック

販売事業者向けヘルプ

Amazon Payセキュリティアドバイザリー APSA2016-01

このドキュメントの対象者は?

このアドバイザリーはAmazon PayのSDKを利用している開発者にのみ提供しています。

実施要領

Amazon Pay SDKに、SNSメッセージのなりすましに対するチェックに誤りがありました。SDKはTLS認証のエンドポイント間でIPNを正しく受け取る処理を更新を実施しております。

影響を受けるソフトウェア

このアドバイザリーは次のソフトウェアのバージョンに関連します。

Amazon Pay SDK

言語バージョンLink
PHPhttps://github.com/amzn/login-and-pay-with-amazon-sdk-php
Java<= v1.0.14https://github.com/amzn/login-and-pay-with-amazon-sdk-java
Rubyhttps://github.com/amzn/login-and-pay-with-amazon-sdk-ruby
Pythonhttps://github.com/amzn/login-and-pay-with-amazon-sdk-python
C#<= v1.0.13https://github.com/amzn/login-and-pay-with-amazon-sdk-csharp

推奨される対応

最新のSDKにアップグレードすることを推奨します。最新バージョンにはメッセージなりすましに対しての防御への追加が含まれています。詳しくは「影響を受けるソフトウェアの表」のバージョンを参照してください。

よくある質問と回答

どのような不正利用の危険がありますか?

攻撃者は、あなたのアプリケーションからのレスポンスを熟知してSNSメッセージを偽装します。これらのメッセージは有効なものとして、あなたのアプリケーション間違って受け入れられてしまいます。

私はAmazon.co.jp、または、Amazon Payを利用して買い物をしています。私の情報は安全ですか?

はい。この問題は多くの顧客情報の機密性に影響されません。

その他の情報

ドキュメント

SDK資料を参照ください。

サポート

サポートが必要な場合はヘルプページを参照ください。

リビジョン

V1.0-アドバイザリー公開 2016/4/18