Aviso CVE-2014-3566

07/01/2015 8:30 PST - Atualização -

Amazon CloudFront:

Desabilitamos o SSLv3 para todos os clientes que usam o SSL com o nome de domínio padrão do CloudFront (*.cloudfront.net).

----------------------------------------------------------------------------------------

24/10/2014 19:30 PDT - Atualização -

Amazon CloudFront:

Hoje, lançamos o recurso que permite aos clientes desabilitar ou habilitar o SSLv3 para certificados SSL customizados de IP dedicado. As distribuições existentes criadas antes do lançamento desse recurso continuarão a habilitar o SSLv3 por padrão. Os clientes que quiserem desabilitar o SSLv3 em distribuições existentes que usam o SSL customizado de IP dedicado podem fazer isso usando a API do CloudFront ou o Console de Gerenciamento da AWS. Recomendamos que os clientes desabilitem o SSLv3 se os seus casos de uso permitirem. Você pode ler mais sobre como fazer isso na nossa documentação.

Como lembrete, em 3 de novembro de 2014, começaremos a desabilitar o SSLv3 para TODOS os clientes que usam o SSL com o nome de domínio padrão do CloudFront (*.cloudfront.net).

----------------------------------------------------------------------------------------

17/10/2014 17:00 PDT - Atualização

Amazon CloudFront:

Gostaríamos de fornecer três atualizações referentes aos nossos planos de suporte ao SSLv3 no Amazon CloudFront.

Na próxima semana, adicionaremos a capacidade para os clientes que usam Certificados SSL customizados de IP dedicado de escolherem se conexões SSLv3 são aceitas ou não

• Os clientes podem desabilitar ou habilitar o SSLv3 para Certificados SSL customizados de IP dedicado por meio de parâmetros de configuração na API do Amazon CloudFront e no Console de Gerenciamento da AWS.

• As distribuições existentes criadas antes do lançamento desse recurso continuarão a habilitar o SSLv3 por padrão. Os clientes que quiserem desabilitar o SSLv3 em distribuições existentes que usam o SSL customizado de IP dedicado podem fazer isso usando a API do CloudFront ou o Console de Gerenciamento da AWS.
Na próxima semana, também concluiremos a implantação de TLS_FALLBACK_SCSV em todos os servidores em nossos pontos de presença do CloudFront. Com essa atualização, os clientes que também oferecerem suporte para TLS_FALLBACK_SCSV não terão suas conexões externamente rebaixadas para SSLv3.
A partir de 3 de novembro de 2014, começaremos a desabilitar o SSLv3 para TODOS os clientes que usam o SSL usando o nome de domínio do CloudFront padrão (*.cloudfront.net)

• A partir desse ponto, a política do Amazon CloudFront será permitir apenas o SSLv3 em certificados SSL costumizados de IP dedicado

Conforme indicado na atualização anterior, os clientes que usam Certificados SSL customizados de IP dedicados podem desabilitar imediatamente o SSLv3 alternando para o SSL customizado somente SNI. As distribuições de SSL customizado somente SNI negam todas as conexões SSLv3.

15/10/2014 15:10 PDT - Atualização -

Analisamos todos os nossos serviços com relação ao problema POODLE recém-anunciado com o SSL (CVE-2014-3566). Como medida de segurança, recomendamos que nossos clientes desabilitem o SSLv3 onde for possível. Isso inclui desabilitar o SSLv3 em implementações de servidor e cliente.

Os endpoints de API da AWS não são afetados pelo ataque descrito no documento POODLE. Em vez de usar cookies para autenticar usuários, uma assinatura exclusiva é calculada para cada solicitação. Nenhuma ação é necessária por parte dos clientes que usam o SDK da AWS ou outros SDKs para acessar nossos endpoints de API.

AMI do Amazon Linux:
Os repositórios de AMIs do Amazon Linux agora incluem patches para o POODLE (CVE-2014-3566) e também para problemas adicionais com o OpenSSL (CVE-2014-3513, CVE-2014-3568, CVE-2014-3567), lançados em 15/10/2014. Para obter informações adicionais, consulte https://alas.aws.amazon.com/ALAS-2014-426.html e https://alas.aws.amazon.com/ALAS-2014-427.html.

Amazon Elastic Load Balancing:
Todos os balanceadores de carga criados depois de 14/10/2014 às 17:00 PDT usarão uma nova Política de negociação de SSL que, por padrão, não habilitará mais o SSLv3.
Os clientes que exigem SSLv3 podem reabilitá-lo selecionando a Política de negociação de SSL 2014-01 ou configurando manualmente as criptografias e os protocolos SSL usados pelo load balancer. Para load balancers existentes, siga as etapas abaixo para desabilitar o SSLv3 por meio do Gerenciamento do ELB
Console:
    1. Selecione seu load balancer (EC2 > Load Balancers).
    2. Na guia Listeners, clique em "Alterar" na coluna Criptografia.
    3. Verifique se o botão de opção "Política de segurança predefinida" está selecionado
    4. No menu suspenso, selecione a política "ELBSecurityPolicy-2014-10".
    5. Clique em "Salvar" para aplicar as configurações ao listener.
    6. Repita essas etapas para cada listener que estiver usando HTTPS ou SSL para cada load balancer.

Para obter mais informações, consulte http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.

Amazon CloudFront:
Os clientes que estiverem usando certificados SSL costumizados com o Amazon CloudFront poderão desabilitar o SSLv3 seguindo as etapas abaixo no Console de gerenciamento do CloudFront:
    1. Selecione sua distribuição e clique em "Configurações de distribuição".
    2. Clique no botão "Editar" na guia "Geral".
    3. Na seção "Suporte ao cliente SSL costumizado", selecione a opção que diz: "Somente clientes com suporte para indicação de nome de servidor (SNI)"
    4. Clique em "Sim, editar" para salvar essas configurações revisadas.

Para obter mais informações, consulte http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni

-----------------------------------------------------------------

14/10/2014 19:05 PDT - Atualização -

Estamos analisando todos os nossos serviços com relação ao problema POODLE recém-anunciado com o SSL (CVE-2014-3566). Como medida de segurança, recomendamos que nossos clientes desabilitem o SSLv3 onde for possível. Isso inclui desabilitar o SSLv3 em implementações de servidor e cliente.

Os endpoints de API da AWS não são afetados por esse problema, e nenhuma ação é necessária por parte dos clientes que usam o SDK da AWS ou outros SDKs para acessar nossos endpoints de API.

Estamos examinando todos os sites de propriedade da AWS quanto a uma possível exposição e atualizaremos este boletim.

AMI do Amazon Linux:

Estamos avaliando o problema e, quando houver patches disponíveis, vamos colocá-los em nosso repositório e lançar um boletim de segurança em https://alas.aws.amazon.com/

Os clientes que exigem SSLv3 podem reabilitá-lo selecionando a Política de negociação de SSL 2014-01 ou configurando manualmente as criptografias e os protocolos SSL usados pelo load balancer. Para load balancers existentes, siga as etapas abaixo para desabilitar o SSLv3 por meio do Gerenciamento do ELB
Console:
    1. Selecione seu load balancer (EC2 > Load Balancers).
    2. Na guia Listeners, clique em "Alterar" na coluna Criptografia.
    3. Verifique se o botão de opção "Política de segurança predefinida" está selecionado
    4. No menu suspenso, selecione a política "ELBSecurityPolicy-2014-10".
    5. Clique em "Salvar" para aplicar as configurações ao listener.
    6. Repita essas etapas para cada listener que estiver usando HTTPS ou SSL para cada load balancer.

Para obter mais informações, consulte http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.

Para obter mais informações, consulte http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni

-----------------------------------------------------------------

14/10/2014 17:00 PDT - Atualização -

Os endpoints de API da AWS não são afetados por esse problema, e nenhuma ação é necessária por parte dos clientes que usam o SDK da AWS ou outros SDKs para acessar nossos endpoints de API.

Estamos examinando todos os sites de propriedade da AWS quanto a uma possível exposição e atualizaremos este boletim até as 19:00, horário do Pacífico, em 14 de outubro de 2014.

Para obter mais informações, consulte http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.

Para obter mais informações, consulte http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni

-----------------------------------------------------------------

14/10/2014 15:30 PDT

Estamos analisando todos os nossos serviços com relação ao problema POODLE recém-anunciado com o SSL (CVE-2014-3566). Atualizaremos este boletim até as 17:00, horário do Pacífico, em 14 de outubro de 2014

Como recomendação de segurança, recomendamos que nossos clientes desabilitem o SSLv3 onde for possível. Isso inclui desabilitar o SSLv3 em implementações de servidor e cliente.

Os clientes do Elastic Load Balancing podem desabilitar o SSLv3 para seus ELBs, seguindo as etapas abaixo para desabilitar o SSLv3 por meio do Console de gerenciamento do ELB:
    1. Selecione seu load balancer (EC2 > Load Balancers).
    2. Na guia Listeners, clique em "Alterar" na coluna Criptografia.
    3. Verifique se o botão de opção para "Política de segurança personalizada" está selecionado.
    4. Na seção "Protocolos SSL", desmarque "Protocol-SSLv3".
    5. Clique em "Salvar" para aplicar as configurações ao listener.
    6. Repita essas etapas para cada listener que estiver usando HTTPS ou SSL para cada load balancer.

Para obter mais informações, consulte http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html

Aviso CVE-2014-3566

Encerramento do suporte para o Internet Explorer