01 mars 2016 – 10h30 PDT (heure du Pacifique)
Nous avons examiné les problèmes décrits dans l'avis CVE-2016-0800, appelé « DROWN », et nous avons déterminé que les services AWS ne sont pas affectés. Les clients Amazon Elastic Load Balancer qui ont modifié leurs configurations ELB par défaut de manière à accepter explicitement SSLv2 doivent immédiatement suivre les étapes ci-dessous pour désactiver SSLv2 de leur environnement.
Les étapes suivantes peuvent être utilisées pour activer la Politique de sécurité prédéfinie recommandée par AWS à l'aide de la console AWS :
1. Sélectionnez votre équilibreur de charge (EC2 > Load Balancers).
2. Dans l'onglet Listeners, cliquez sur « Change » dans la colonne Cipher.
3. Assurez-vous que le bouton de radio pour « Predefined Security Policy » est sélectionné.
4. Dans le menu déroulant, sélectionnez la politique « ELBSecurityPolicy-2015-05 ».
5. Cliquez sur « Save » pour appliquer les paramètres à l'écouteur.
6. Répétez ces étapes pour chaque écouteur qui utilise HTTPS ou SSL pour chaque équilibreur de charge.
Pour plus d'informations, consultez :
http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html