Tercera actualización: 28/05/2016, 16:30 h PDT
Segunda actualización: 07/05/2016, 14:30 h PDT
Primera actualización: 03/05/2016, 11:00 h PDT
Boletín original: 03/05/2016, 7:30 h PDT
Estamos al tanto de la nota oficial de seguridad de OpenSSL publicada en https://www.openssl.org/news/secadv/20160503.txt. El equipo del proyecto OpenSSL ha lanzado las versiones 1.0.2h y 1.0.1t de OpenSSL.
La infraestructura de AWS a la que normalmente acceden los navegadores web, como, por ejemplo, la consola de administración de AWS, S3, CloudFront y ELB, prefiere y recomienda los paquetes de cifrado AES-GCM TLS/SSL. Por lo tanto, las interacciones de los clientes con AWS a través de los navegadores web modernos o de las aplicaciones de los clientes que negocian AES-GCM para TLS/SSL de manera apropiada no se ven afectadas por este problema.
De acuerdo con las prácticas recomendadas de seguridad de AWS, AWS recomienda enfáticamente a los clientes que actualicen OpenSSL a su última versión a fin de obtener mayor seguridad y estabilidad en sus aplicaciones para clientes y entornos implementados de AWS propios.
Se encuentra disponible un paquete actualizado de OpenSSL en los repositorios de Amazon Linux. Las instancias lanzadas con la configuración predeterminada de Amazon Linux el 03/05/2016 o con posterioridad a dicha fecha incluirán el paquete actualizado de forma automática. Los clientes con instancias existentes de la AMI de Amazon Linux deberán ejecutar el comando siguiente para asegurarse de que reciban el paquete actualizado:
yum update openssl
Para obtener más información acerca del paquete actualizado de Amazon Linux, visite el Centro de seguridad de la AMI de Amazon Linux.
AWS actualizará OpenSSL adecuadamente a fin de mejorar la seguridad de los clientes de AWS que utilicen navegadores web antiguos que no puedan negociar los paquetes de cifrado AES-GCM TLS/SSL que AWS prefiere y recomienda cuando interactúan con la consola de administración de AWS.
AWS ha actualizado OpenSSL para S3, ELB y CloudFront con el fin de asistir a los clientes de AWS que venden contenido protegido por TLS/SSL al cual se accede a través de navegadores web antiguos que no pueden negociar los paquetes de cifrado AES-GCM TLS/SSL que AWS prefiere y recomienda.
Además de actualizar las instancias de Amazon Linux, no se requiere otra acción por parte de los clientes.