20/11/2014 10:30 h PST-
AWS Elastic Beanstalk
Hemos lanzado una actualización para todos los contenedores de Windows Elastic Beanstalk con una solución para MS14-066, como se describe en https://technet.microsoft.com/library/security/ms14-066. Los clientes con entornos de instancia única necesitan actualizarse para solucionar el problema descrito en MS14-066. Además, recomendamos que los clientes con entornos de instancia múltiple también se actualicen. Los pasos que nuestros clientes deben seguir para actualizar sus entornos están publicados en nuestros foros de discusión en https://forums.aws.amazon.com/ann.jspa?annid=2760.
---------------------------------------------------------------
18/11/2014 10:30 h PST -
Hemos revisado todos los servicios AWS para comprobar el impacto del problema que se describe en el boletín de seguridad de Microsoft MS14-066: la vulnerabilidad en SChannel podría permitir la ejecución remota de un código(CVE-2014-6321). Con excepción de los servicios que se enumeran a continuación, hemos podido verificar que los servicios no fueron afectados o pudimos aplicar mitigaciones sin la acción del cliente.
Amazon EC2:
Los clientes que ejecuten las instancias de Amazon EC2 lanzadas desde los AMI de Microsoft Windows, incluidos los AMI de AWS Marketplace y los AMI personalizados, deben actualizar sus instancias mediante la ejecución de Windows Update o el seguimiento de las directivas en https://technet.microsoft.com/library/security/ms14-066. Nuestros clientes que lancen nuevas instancias de Windows necesitarán ejecutar la actualización de Windows para instalar la actualización de seguridad. Se espera que para el 25/11/2014 estén disponibles los AMI de Windows actualizados que contienen la actualización de este problema, sin necesidad de ejecutar Windows Update.
AWS Elastic Beanstalk:
Hemos determinado que solo los entornos de instancia simple de Windows se ven afectados por el problema descrito en MS14-066. Estamos creando muchas soluciones actualizadas que los clientes podrán intercambiar con un mínimo tiempo de inactividad, y esperamos tenerlas disponibles a las 23:59 PST del 18/11/2014. En ese momento, proporcionaremos instrucciones detalladas en el foro Elastic Beanstalk.
---------------------------------------------------------------
14/11/2014 17:30 h PST -
Continuamos la investigación de los problemas que se informaron con el parche que fue suministrado para MS14-066. Este estado actualizado se proporciona para el siguiente servicio. Continuaremos la actualización del boletín de seguridad para los otros servicios ya identificados a medida que se disponga de más información disponible.
Amazon Relational Database Service (RDS):
Amazon RDS generará e implementará toda actualización solicitada para las instancias de servidores RDS SQL afectados. Toda actualización necesaria requerirá reiniciar la instancia de base de datos de RDS. El aviso del momento específico de la actualización de cada instancia se hará por correo electrónico o por AWS Support directamente a los clientes previo a reiniciar alguna instancia.
---------------------------------------------------------------
12/11/2014 - 21:30 h PST-
Hemos recibido informes de que el parche que suministró Microsoft paraMS14-066 estuvo causando problemas, específicamente que las sesiones TLS 1.2 se desconectan durante el intercambio de claves.
Mientras investigamos este problema con el parche proporcionado, sugerimos que nuestros clientes revisen sus grupos de seguridad y garanticen que se ha restringido de manera adecuada el acceso externo a instancias de Windows en la medida de lo posible. La siguiente es una guía que nuestros clientes pueden consultar al revisar sus grupos de seguridad.
Documentación del grupo de seguridad de la instancia Windows EC2: http://docs.aws.amazon.com/awsec2/latest/userguide/using-network-security.html
Documentación de los grupos de seguridad de AWS Elastic Beanstalk: http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/using-features.managing.ec2.html
Documentación del grupo de seguridad del servidor SQL de Amazon RDS: http://docs.aws.amazon.com/amazonrds/latest/userguide/overview.rdssecuritygroups.html
Continuaremos proporcionando actualizaciones a este boletín de seguridad.
---------------------------------------------------------------
11/11/2014 21:00 h PST-
Estamos al tanto de MS14-066 para el cual se publicó un parche el 11 de noviembre de 2014. En estos momentos estamos revisando los servicios de AWS y en breve actualizaremos este boletín con más información.