CVE-2014-3566-Hinweis

07.01.2015 – 17:30 Uhr MEZ – Update –

Amazon CloudFront

Wir haben SSLv3 für alle Kunden deaktiviert, die SSL mit dem standardmäßigen CloudFront-Domainnamen (*.cloudfront.net) verwenden.

----------------------------------------------------------------------------------------

24.10.2014 04:30 Uhr MEZ – Update –

Amazon CloudFront

Heute haben wir eine Funktion eingeführt, mit der Kunden SSLv3 für dedizierte benutzerdefinierte IP-SSL-Zertifikate aktivieren oder deaktivieren können. Bestehende Distributionen, die vor dem Start dieser Funktion erstellt wurden, lassen standardmäßig weiterhin SSLv3 zu. Kunden, die SSLv3 für vorhandene Distributionen deaktivieren möchten, die Dedicated IP Custom SSL verwenden, können dies über die CloudFront-API oder die AWS-Managementkonsole tun. Wir empfehlen Kunden, SSLv3 zu deaktivieren, wenn ihr Anwendungsfall dies zulässt. Weitere Informationen zur Vorgehensweise finden Sie in unserer Dokumentation.

Zur Erinnerung deaktivieren wir am 3. November 2014 SSLv3 für alle Kunden, die SSL mit dem standardmäßigen CloudFront-Domainnamen (*.cloudfront.net) verwenden.

----------------------------------------------------------------------------------------

17.10.2014 02:00 Uhr MEZ – Update –

Amazon CloudFront

Wir möchten drei Updates zu unseren Plänen für die Unterstützung von SSLv3 in Amazon CloudFront bereitstellen.

Nächste Woche werden wir Kunden, die dedizierte benutzerdefinierte IP-SSL-Zertifikate verwenden, die Möglichkeit geben, zu entscheiden, ob sie SSLv3-Verbindungen akzeptieren möchten

• Kunden können SSLv3 für benutzerdefinierte dedizierte IP-SSL-Zertifikate über Konfigurationsparameter in der Amazon CloudFront-API und in der AWS-Managementkonsole deaktivieren oder aktivieren.

• Bestehende Distributionen, die vor dem Start dieser Funktion erstellt wurden, lassen standardmäßig weiterhin SSLv3 zu. Kunden, die SSLv3 für vorhandene Distributionen deaktivieren möchten, die Dedicated IP Custom SSL verwenden, können dies über die CloudFront-API oder die AWS-Managementkonsole tun.
Nächste Woche werden wir auch die Bereitstellung von TLS_FALLBACK_SCSV auf allen Servern an unseren CloudFront-Edge-Standorten abschließen. Mit diesem Update können Clients, die auch TLS_FALLBACK_SCSV unterstützen, ihre Verbindungen nicht extern auf SSLv3 herabstufen.
Ab dem 3. November 2014 SSLv3 deaktivieren wir SSLv3 für ALLE Kunden, die SSL mit dem standardmäßigen CloudFront (*.cloudfront.net) verwenden.

• Nach diesem Zeitpunkt gilt die Amazon CloudFront-Richtlinie, SSLv3 nur für dedizierte benutzerdefinierte IP-SSL-Zertifikate zuzulassen

Wie in unserem vorherigen Update angegeben, können Kunden, die Dedicated IP-SSL-Zertifikate verwenden, SSLv3 sofort deaktivieren, indem sie zu SNI-Only Custom SSL wechseln. Benutzerdefinierte SSL-Verteilungen nur für SNI verweigern alle SSLv3-Verbindungen.

15.10.2014, 00:10 Uhr MEZ – Update –

Wir haben alle unsere Services in Bezug auf das kürzlich bekannt gegebene POODLE-Problem mit SSL (CVE-2014-3566) überprüft. Aus Sicherheitsgründen empfehlen wir unseren Kunden, SSLv3 zu deaktivieren, sofern dies möglich ist. Dies umfasst das Deaktivieren von SSLv3 auf Server- und Clientimplementierungen.

AWS API-Endpunkte sind von dem im POODLE-Dokument beschriebenen Angriff nicht betroffen. Anstatt Cookies zur Authentifizierung von Benutzern zu verwenden, wird für jede Anforderung eine eindeutige Signatur berechnet. Kunden, die das AWS SDK oder andere SDKs für den Zugriff auf unsere API-Endpunkte verwenden, müssen keine Maßnahmen ergreifen.

Amazon Linux AMI:
Die Amazon Linux AMI-Repositorys enthalten jetzt Patches für POODLE (CVE-2014-3566) sowie für die zusätzlichen OpenSSL-Probleme (CVE-2014-3513, CVE-2014-3568, CVE-2014-3567), die am 15.10.2014 veröffentlicht wurden. Weitere Informationen finden Sie unter https://alas.aws.amazon.com/ALAS-2014-426.html und https://alas.aws.amazon.com/ALAS-2014-427.html.

Amazon Elastic Load Balancing
Alle Load Balancer, die nach dem 14.10.2014, 02:00 Uhr MEZ erstellt wurden, verwenden eine neue SSL-Aushandlungsrichtlinie, die SSLv3 standardmäßig nicht mehr aktiviert.
Kunden, die SSLv3 benötigen, können es erneut aktivieren, indem Sie die SSL-Aushandlungsrichtlinie 2014-01 auswählen oder die vom Lastenausgleich verwendeten SSL-Verschlüsselungen und -Protokolle manuell konfigurieren. Führen Sie für vorhandene Load Balancer die folgenden Schritte aus, um SSLv3 über das ELB-Management zu deaktivieren
Konsole:
    1. Wählen Sie Ihren Load Balancer aus (EC2 > Load Balancers).
    2. Klicken Sie auf dem Tab "Listener" in der Spalte "Chiffre" auf "Ändern".
    3. Stellen Sie sicher, dass das Optionsfeld für "Vordefinierte Sicherheitsrichtlinie" ausgewählt ist.
    4. Wählen Sie in der Dropdown-Liste die Richtlinie "ELBSecurityPolicy-2014-10" aus.
    5. Klicken Sie auf "Speichern", um die Einstellungen auf den Listener anzuwenden.
    6. Wiederholen Sie diese Schritte für jeden Listener, der HTTPS oder SSL verwendet, für jeden Load Balancer.

Weitere Informationen finden Sie unter http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html

Amazon CloudFront
Kunden, die benutzerdefinierte SSL-Zertifikate mit Amazon CloudFront verwenden, können SSLv3 mithilfe der folgenden Schritte in der CloudFront-Managementkonsole deaktivieren:
    1. Wählen Sie Ihre Distribution aus und klicken Sie auf "Distributioneinstellungen".
    2. Klicken Sie auf der Registerkarte "Allgemein" auf die Schaltfläche "Bearbeiten".
    3. Wählen Sie im Abschnitt "Benutzerdefinierte SSL-Client-Unterstützung" die Option "Nur Clients, die die Angabe des Servernamens (SNI) unterstützen" aus.
    4. Klicken Sie auf "Ja, bearbeiten", um diese überarbeiteten Einstellungen zu speichern.

Weitere Informationen finden Sie unter http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni

-----------------------------------------------------------------

14.10.2014 4:05 Uhr MEZ – Update –

AWS API-Endpunkte sind von diesem Problem nicht betroffen. Kunden, die das AWS SDK oder andere SDKs für den Zugriff auf unsere API-Endpunkte verwenden, müssen keine Maßnahmen ergreifen.

Wir prüfen alle von AWS betriebenen Websites auf Bekanntheit und werden dieses Bulletin aktualisieren.

Amazon Linux AMI:

Wir prüfen das Problem und stellen Patches in unserem Repository bereit, sobald sie verfügbar. Zudem veröffentlichen wir ein Sicherheits-Bulletin unter https://alas.aws.amazon.com/.

Kunden, die SSLv3 benötigen, können es erneut aktivieren, indem Sie die SSL-Aushandlungsrichtlinie 2014-01 auswählen oder die vom Lastenausgleich verwendeten SSL-Verschlüsselungen und -Protokolle manuell konfigurieren. Führen Sie für vorhandene Load Balancer die folgenden Schritte aus, um SSLv3 über das ELB-Management zu deaktivieren
Konsole:
    1. Wählen Sie Ihren Load Balancer aus (EC2 > Load Balancers).
    2. Klicken Sie auf dem Tab "Listener" in der Spalte "Chiffre" auf "Ändern".
    3. Stellen Sie sicher, dass das Optionsfeld für "Vordefinierte Sicherheitsrichtlinie" ausgewählt ist.
    4. Wählen Sie in der Dropdown-Liste die Richtlinie "ELBSecurityPolicy-2014-10" aus.
    5. Klicken Sie auf "Speichern", um die Einstellungen auf den Listener anzuwenden.
    6. Wiederholen Sie diese Schritte für jeden Listener, der HTTPS oder SSL verwendet, für jeden Load Balancer.

Weitere Informationen finden Sie unter http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html

Weitere Informationen finden Sie unter http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni

-----------------------------------------------------------------

14.10.2014 02:00 Uhr MEZ – Update –

AWS API-Endpunkte sind von diesem Problem nicht betroffen. Kunden, die das AWS SDK oder andere SDKs für den Zugriff auf unsere API-Endpunkte verwenden, müssen keine Maßnahmen ergreifen.

Wir prüfen alle von AWS betriebenen Websites auf Gefährdung und werden dieses Bulletin bis 02:00 Uhr MEZ am 14. Oktober 2014 aktualisieren.

Weitere Informationen finden Sie unter http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html

Weitere Informationen finden Sie unter http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni

-----------------------------------------------------------------

14.10.2014 00:30 Uhr MEZ

Wir haben alle unsere Services in Bezug auf das kürzlich bekannt gegebene POODLE-Problem mit SSL (CVE-2014-3566) überprüft. Wir werden dieses Bulletin bis zum 14. Oktober 2014, 02:00 Uhr MEZ, aktualisieren

Aus Sicherheitsgründen empfehlen wir unseren Kunden, SSLv3 zu deaktivieren, sofern dies möglich ist. Dies umfasst das Deaktivieren von SSLv3 auf Server- und Clientimplementierungen.

Kunden mit Elastic Load Balancing können SSLv3 für ihre ELBs deaktivieren, indem Sie die folgenden Schritte ausführen, um SSLv3 über die ELB-Verwaltungskonsole zu deaktivieren:
    1. Wählen Sie Ihren Load Balancer aus (EC2 > Load Balancers).
    2. Klicken Sie auf dem Tab "Listeners" in der Spalte "Chiffre" auf "Ändern" (Ändern).
    3. Stellen Sie sicher, dass das Optionsfeld für "Vordefinierte Sicherheitsrichtlinie" ausgewählt ist.
    4. Deaktivieren Sie im Abschnitt "SSL-Protokolle" die Option "Protokoll-SSLv3".
    5. Klicken Sie auf "Speichern", um die Einstellungen auf den Listener anzuwenden.
    6. Wiederholen Sie diese Schritte für jeden Listener, der HTTPS oder SSL verwendet, für jeden Load Balancer.

Weitere Informationen finden Sie unter http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html

CVE-2014-3566-Hinweis

Ende des Supports für Internet Explorer