8 avril 2014
Tous les services AWS ont été examinés afin d'évaluer l'impact du problème décrit dans l'avis de sécurité CVE-2014-0160, également connu sous la dénomination « Bug Heartbleed ». À l'exception de ceux listés ci-dessous, aucun service n'a été affecté, ou l'anomalie a pu être corrigée sans que l'intervention du client ne soit nécessaire.
Elastic Load Balancing : tous les équilibreurs de charge affectés par le problème décrit dans l'avis de sécurité CVE-2014-0160 ont désormais été mis à jour dans toutes les régions. Si vous résiliez vos connexions SSL au niveau de votre Elastic Load Balancer, vous ne risquez plus d'être affecté par le bug Heartbleed. Par mesure de précaution, nous vous recommandons de renouveler vos certificats SSL à l'aide des informations fournies dans la documentation relative à Elastic Load Balancing et disponible à l'adresse http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/US_UpdatingLoadBalancerSSL.html.
Amazon EC2 : les clients utilisant OpenSSL avec leurs propres images Linux doivent mettre ces dernières à jour afin de se prémunir contre le bug Heartbleed décrit dans l'avis de sécurité CVE-2014-0160. Les liens ci-dessous redirigent vers des instructions indiquant comment effectuer cette opération. Par mesure de précaution, nous vous recommandons de renouveler tout secret ou toute clé (par exemple, vos certificats SSL) utilisé(e) par le processus OpenSSL affecté.
Image Amazon Linux : https://aws.amazon.com/amazon-linux-ami/security-bulletins/ALAS-2014-320/
Red Hat Enterprise Linux : https://rhn.redhat.com/errata/RHSA-2014-0376.html
Ubuntu : http://www.ubuntu.com/usn/usn-2165-1/
AWS OpsWorks : pour mettre à jour vos instances gérées par OpsWorks, exécutez la commande update_dependencies avec chacune de vos piles afin de bénéficier des derniers paquets OpenSSL pour Ubuntu et Amazon Linux. Par défaut, toutes les mises à jour de sécurité sont installées lors du démarrage des nouvelles instances OpsWorks. Rendez-vous à l'adresse https://forums.aws.amazon.com/ann.jspa?annID=2429 pour obtenir des informations supplémentaires.
AWS Elastic Beanstalk : nous aidons actuellement un faible nombre de clients à mettre à jour leurs environnements à instance unique SSL affectés par ce bug.
Amazon CloudFront : ce problème a été résolu. Par mesure de précaution, nous vous recommandons de renouveler vos certificats SSL à l'aide des informations fournies dans la documentation relative à CloudFront et disponible à l'adresse http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html.