01 mars 2016 – 10h30 PDT (heure du Pacifique)

 

Nous avons examiné les problèmes décrits dans l'avis CVE-2016-0800, appelé « DROWN », et nous avons déterminé que les services AWS ne sont pas affectés. Les clients Amazon Elastic Load Balancer qui ont modifié leurs configurations ELB par défaut de manière à accepter explicitement SSLv2 doivent immédiatement suivre les étapes ci-dessous pour désactiver SSLv2 de leur environnement.

 

Les étapes suivantes peuvent être utilisées pour activer la Politique de sécurité prédéfinie recommandée par AWS à l'aide de la console AWS :

    1. Sélectionnez votre équilibreur de charge (EC2 > Load Balancers).

    2. Dans l'onglet Listeners, cliquez sur « Change » dans la colonne Cipher.

    3. Assurez-vous que le bouton de radio pour « Predefined Security Policy » est sélectionné.

    4. Dans le menu déroulant, sélectionnez la politique « ELBSecurityPolicy-2015-05 ».

    5. Cliquez sur « Save » pour appliquer les paramètres à l'écouteur.

    6. Répétez ces étapes pour chaque écouteur qui utilise HTTPS ou SSL pour chaque équilibreur de charge.

Pour plus d'informations, consultez :

http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html