2014 年 4 月 8 日

我们对所有 AWS 服务进行了检查,查看它们是否受到 CVE-2014-0160(也称为 Heartbleed 错误)中所述问题的影响。除了下面列出的服务之外,我们已经确定服务不受影响,或者能够应用无需客户执行操作的缓解措施。

Elastic Load Balancing:我们可以确认,受到 CVE-2014-0160 中所述问题影响的所有负载均衡器现已在所有区域得到更新。如果您终止 Elastic Load Balancer 上的 SSL 连接,将不再受到 Heartbleed 错误的影响。此外,我们还建议您使用 Elastic Load Balancing 文档中提供的信息轮换您的 SSL 证书,作为额外预防措施:http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/US_UpdatingLoadBalancerSSL.html

Amazon EC2:在自己的 Linux 映像上使用 OpenSSL 的客户应该更新自己的映像,以保护自己不受 CVE-2014-0160 中所述 Heartbleed 错误的影响。有关如何更新几个热门 Linux 产品的说明的链接,请参阅下文。此外,我们还建议轮换受影响的 OpenSSL 进程使用的任何密钥(例如,您的 SSL 证书),作为额外预防措施。

Amazon Linux AMI:https://aws.amazon.com/amazon-linux-ami/security-bulletins/ALAS-2014-320/

Red Hat Enterprise Linux:https://rhn.redhat.com/errata/RHSA-2014-0376.html

Ubuntu:http://www.ubuntu.com/usn/usn-2165-1/

AWS OpsWorks:要更新 OpsWorks 托管实例,请对您的每个堆栈运行 update_dependencies 命令,获取适用于 Ubuntu 和 Amazon Linux 的最新 OpenSSL 软件包。新创建的 OpsWorks 实例将默认在启动时安装所有安全更新。有关更多信息,请访问:https://forums.aws.amazon.com/ann.jspa?annID=2429

AWS Elastic Beanstalk:我们正在与少数客户合作,帮助他们更新受此错误影响的启用 SSL 的单实例环境。

Amazon CloudFront:我们已缓解此问题。此外,我们还建议您使用 CloudFront 文档中提供的信息轮换您的 SSL 证书,作为额外预防措施:http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html