2014/11/20 10h30 PST- (heure du Pacifique)
AWS Elastic Beanstalk
Nous avons mis à jour tous les conteneurs Elastic Beanstalk Windows avec un correctif pour MS14-066, comme décrit sur https://technet.microsoft.com/library/security/ms14-066. Les clients avec des environnements à instance unique doivent effectuer une mise à jour pour résoudre le problème décrit dans MS14-066. De plus, nous recommandons que les clients avec des environnements multi-instances mettent également à jour. Les étapes que nos clients doivent suivre pour mettre à jour leur environnement sont publiées sur nos forums de discussion sur https://forums.aws.amazon.com/ann.jspa?annID=2760.
---------------------------------------------------------------
18/11/2014 10h30 PST- (heure du Pacifique)
Nous avons examiné l'impact de tous les services AWS sur le problème décrit dans le bulletin de sécurité Microsoft MS14-066 : une faille dans SChannel peut permettre d'exécuter du code à distance (CVE-2014-6321). À l'exception des services énumérés ci-dessous, nous avons pu vérifier que les services n'étaient pas affectés ou nous avons pu appliquer des mesures d'atténuation qui ne nécessitent aucune action du client.
Amazon EC2 :
Les clients exécutant des instances Amazon EC2 lancées à partir d'AMI Microsoft Windows, y compris des AMI d'AWS Marketplace et des AMI personnalisées, doivent mettre à jour leurs instances en exécutant Windows Update ou en suivant les instructions sur https://technet.microsoft.com/library/security/ms14-066. Nos clients qui lancent de nouvelles instances Windows doivent exécuter la mise à jour Windows pour installer la mise à jour de sécurité. Les AMI Windows mises à jour contenant la mise à jour de ce problème, sans nécessiter une exécution de Windows Update, devraient être disponibles d'ici le 25/11/2014.
AWS Elastic Beanstalk :
Nous avons déterminé que seuls les environnements à instance Windows unique sont affectés par le problème décrit dans MS14-066. Nous créons des piles de solutions mises à jour vers lesquelles les clients pourront basculer avec un temps d'arrêt minimal. Elles devraient être disponible le 18/11/2014 à 23h59 PST (heure du Pacifique). Nous fournirons des instructions détaillées sur le forum Elastic Beanstalk à ce moment-là.
---------------------------------------------------------------
14/11/2014 5h30 PST - (heure du Pacifique)
Nous continuons nos investigations relatives aux problèmes concernant le correctif fourni pour MS14-066. Ce statut mis à jour est fourni pour le service ci-dessous. Nous continuerons de mettre à jour ce bulletin de sécurité pour les autres services précédemment identifiés à mesure que de plus amples informations sont disponibles.
Amazon Relational Database Service (RDS) :
Amazon RDS créera et déploiera toutes les mises à jour requises sur les instances RDS SQL Server affectées. Toutes les mises à jour nécessaires nécessiteront un redémarrage de l'instance de base de données RDS. Le calendrier spécifique de la mise à jour de chaque instance sera communiqué par e-mail ou AWS Support directement aux clients avant tout redémarrage d'instance.
---------------------------------------------------------------
12/11/2014 – 9h30 PST (heure du Pacifique)
Nous avons reçu des informations selon lesquelles le correctif fourni par Microsoft pour MS14-066 provoquait des problèmes, en particulier, la déconnexion des sessions TLS 1.2 lors de l'échange de clés.
Pendant que nous analysons ce problème avec le correctif fourni, nous suggérons à nos clients d'examiner leurs groupes de sécurité et de s'assurer que l'accès externe aux instances Windows a été correctement restreint dans la mesure du possible. Vous trouverez ci-dessous des conseils auxquels vous pouvez vous référer pour examiner vos groupes de sécurité.
Documentation dur les groupes de sécurité des instances Windows EC2 : http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html
Documentation sur les groupes de sécurité AWS Elastic Beanstalk : http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/using-features.managing.ec2.html
Documentation sur les groupes de sécurité Amazon RDS SQL Server : http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html
Nous allons continuer de fournir des informations dans ce bulletin de sécurité.
---------------------------------------------------------------
11/011/2014 – 9h00 PST (heure du Pacifique)
Nous avons connaissance du MS14-066 pour lequel un correctif a été publiée le 11 novembre 2014. Nous examinons actuellement les services AWS et nous allons prochainement mettre à jour ce bulletin.