01.03.2016 – 19:30 Uhr MEZ

 

Wir haben die in CVE-2016-0800 beschriebenen Probleme, auch bekannt als "DROWN", überprüft und festgestellt, dass AWS-Services größtenteils nicht betroffen sind. Kunden von Amazon Elastic Load Balancer, die ihre Standard-ELB-Konfigurationen geändert haben, um SSLv2 explizit zu akzeptieren, sollten sofort die folgenden Schritte ausführen, um SSLv2 in ihrer Umgebung zu deaktivieren.

 

Führen Sie die folgenden Schritte aus, um die von AWS empfohlene vordefinierte Sicherheitsrichtlinie über die AWS-Konsole zu aktivieren:

    1. Wählen Sie Ihren Load Balancer aus (EC2 > Load Balancers).

    2. Klicken Sie auf dem Tab "Listeners" in der Spalte "Cipher" (Chiffre) auf "Change" (Ändern).

    3. Stellen Sie sicher, dass das Optionsfeld für "Predefined Security Policy" (Vordefinierte Sicherheitsrichtlinie) ausgewählt ist.

    4. Wählen Sie in der Dropdown-Liste die Richtlinie "ELBSecurityPolicy-2015-05" aus.

    5. Klicken Sie auf "Save" (Speichern), um die Einstellungen auf den Listener anzuwenden.

    6. Wiederholen Sie diese Schritte für jeden Listener, der HTTPS oder SSL verwendet, für jeden Load Balancer.

Weitere Informationen finden Sie hier:

http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html