Drittes Update: 28.05.2016 – 16:30 Uhr PDT
Zweites Update: 07.05.2016 – 14:30 Uhr PDT
Erstes Update: 03.05.2016 – 11:00 Uhr PDT
Originaler Bericht: 03.05.2016 – 07:30 Uhr PDT
Der unter https://www.openssl.org/news/secadv/20160503.txt beschriebene OpenSSL-Sicherheitshinweis ist uns bekannt. Das OpenSSL-Projektteam hat die OpenSSL-Versionen 1.0.2h und 1.0.1t veröffentlicht.
Für die AWS-Infrastruktur, auf die typischerweise mit Webbrowsern zugegriffen wird, z. B. die AWS-Managementkonsole, S3, CloudFront und ELB, werden AES-GCM TLS/SSL-Verschlüsselungssammlungen bevorzugt und empfohlen. Deshalb sind Kundeninteraktionen mit AWS über moderne Webbrowser oder Client-Anwendungen, die AES-GCM korrekt für TLS/SSL aushandeln, von diesem Problem nicht betroffen.
Gemäß den empfohlenen bewährten Sicherheitsmethoden empfiehlt AWS seinen Kunden dringend ein Upgrade auf die aktuelle OpenSSL-Version zur verstärkten Sicherheit und Stabilität in den eigenen von AWS bereitgestellten Umgebungen und Client-Anwendungen.
Ein aktualisiertes OpenSSL-Paket steht in den Amazon Linux-Repositorys zur Verfügung. Bei Instances, die ab dem 03.05.2016 mit der Standardkonfiguration von Amazon Linux gestartet wurden, ist das aktualisierte Paket automatisch enthalten. Kunden mit vorhandenen Amazon Linux AMI-Instances sollten den folgenden Befehl ausführen, damit sie das aktualisierte Paket erhalten:
yum update openssl
Weitere Informationen zum aktualisierten Amazon Linux-Paket finden Sie im Amazon Linux AMI-Sicherheitszentrum.
AWS wird OpenSSL angemessen aktualisieren, um AWS-Kunden mit veralteten Webbrowsern zu schützen, welche die von AWS bevorzugten und empfohlenen AES-GCM TLS/SSL-Verschlüsselungssammlungen nicht aushandeln können, wenn sie mit der AWS-Managementkonsole interagieren.
AWS hat OpenSSL für S3, ELB und CloudFront aktualisiert, um AWS-Kunden zu unterstützen, die TLS/SSL-gesicherte Inhalte verkaufen, auf die mit veralteten Webbrowsern zugegriffen wird, welche die von AWS bevorzugten und empfohlenen AES-GCM TLS/SSL-Verschlüsselungssammlungen nicht aushandeln können.
Abgesehen vom Aktualisieren der Amazon Linux-Instances sind keine weiteren Schritte der Kunden erforderlich.