Petunjuk CVE-2014-3566

07/01/2015 8:30 AM PST - Pembaruan -

Amazon CloudFront:

Kami telah menonaktifkan SSLv3 untuk semua pelanggan yang menggunakan SSL dengan nama domain CloudFront default (*.cloudfront.net).

 

----------------------------------------------------------------------------------------

 

24/10/2014 7:30 PM PDT - Pembaruan -

Amazon CloudFront:

Hari ini, kami meluncurkan fitur yang memungkinkan pelanggan untuk menonaktifkan atau mengaktifkan SSLv3 untuk Sertifikat SSL Kustom IP Khusus. Distribusi saat ini yang dibuat sebelum peluncuran fitur ini akan tetap mengizinkan SSLv3 secara default, pelanggan yang ingin menonaktifkan SSLv3 pada distribusi yang menggunakan SSL kustom IP Khusus dapat melakukannya dengan menggunakan API CloudFront atau AWS Management Console. Kami menyarankan agar pelanggan menonaktifkan SSLv3 jika penggunaan mereka memungkinkannya. Anda dapat membaca lebih lanjut tentang cara melakukannya pada dokumentasi kami.

Sebagai pengingat, pada tanggal 3 November 2014 kami akan mulai menonaktifkan SSLv3 pada SEMUA pelanggan yang menggunakan SSL dengan nama domain CloudFront default (*.cloudfront.net).

 

----------------------------------------------------------------------------------------

 

17/10/2014 5:00 PM PDT - Pembaruan

 

Amazon CloudFront:

Kami akan menyediakan tiga pembaruan terkait rencana kami untuk mendukung SSLv3 di Amazon CloudFront.

  1. Minggu depan, kami akan menambahkan kemampuan untuk pelanggan yang menggunakan Sertifikat SSL Kustom IP Khusus untuk memilih apakah sambungan SSLv3 diterima atau tidak

    • Pelanggan dapat menonaktifkan atau mengaktifkan SSLv3 untuk Sertifikat SSL Kustom IP Khusus melalui parameter konfigurasi pada Amazon CloudFront API dan AWS Management Console.

    • Distribusi saat ini yang dibuat sebelum peluncuran fitur ini akan tetap mengizinkan SSLv3 secara default; pelanggan yang ingin menonaktifkan SSLv3 pada distribusi saat ini yang menggunakan SSL kustom IP Khusus dapat melakukannya dengan menggunakan API CloudFront atau AWS Management Console.
  2. Minggu depan, kami juga akan menyelesaikan penerapan TLS_FALLBACK_SCSV ke semua server di lokasi edge CloudFront kami. Dengan pembaruan ini, klien yang juga mendukung TLS_FALLBACK_SCSV tidak dapat menurunkan sambungan mereka ke SSLv3 secara eksternal.
  3. Mulai tanggal 3 November 2014, kami akan mulai menonaktifkan SSLv3 pada SEMUA pelanggan yang menggunakan SSL dengan CloudFront default (*.cloudfront.net)

    • Setelah poin ini, akan menjadi kebijakan Amazon CloudFront untuk mengizinkan SSLv3 saja pada Sertifikat SSL Kustom IP Khusus


Sebagaimana ditunjukkan pada pembaruan kami sebelumnya, pelanggan yang menggunakan Sertifikat SSL Kustom IP Khusus dapat langsung menonaktifkan SSLv3 dengan beralih ke SSL Kustom SNI Saja. Distribusi SSL Kustom SNI Saja menolak semua sambungan SSLv3.

 

15/10/2014 3:10PM PDT - Pembaruan -

Kami telah meninjau semua layanan kami sehubungan dengan masalah POODLE dengan SSL (CVE-2014-3566) yang baru-baru ini diumumkan. Sebagai tindakan pencegahan keamanan, kami menyarankan pelanggan untuk menonaktifkan SSLv3 jika memungkinkan untuk dilakukan. Ini termasuk menonaktifkan SSLv3 baik pada server maupun klien.

Titik akhir API AWS tidak terdampak oleh serangan yang dijelaskan pada makalah POODLE. Alih-alih menggunakan cookie untuk mengautentikasi pengguna, tanda tangan unik akan dikalkulasi untuk setiap permintaan. Pelanggan yang menggunakan SDK AWS atau SDK lain untuk mengakses titik akhir API kami tidak perlu melakukan tindakan apa pun.


AMI Amazon Linux:
Repositori AMI Amazon Linux kini termasuk patch untuk POODLE (CVE-2014-3566) serta untuk masalah OpenSSL tambahan (CVE-2014-3513, CVE-2014-3568, CVE-2014-3567) yang dirilis pada tanggal 15-10-2014. Untuk informasi selengkapnya baca https://alas.aws.amazon.com/ALAS-2014-426.html dan https://alas.aws.amazon.com/ALAS-2014-427.html.

 

Amazon Elastic Load Balancing:
Semua penyeimbang muatan yang dibuat setelah tanggal 14/10/2014 5:00 PM PDT akan menggunakan Kebijakan Negosiasi SSL baru yang secara default tidak akan mengaktifkan SSLv3 lagi.
Pelanggan yang membutuhkan SSLv3 dapat mengaktifkannya kembali dengan memilih Kebijakan Negosiasi SSL 2014-01 atau dengan mengonfigurasi secara manual cipher serta protokol SSL yang digunakan oleh penyeimbang muatan. Untuk penyeimbang muatan saat ini, ikuti langkah-langkah di bawah ini untuk menonaktifkan SSLv3 melalui ELB Management
Konsol:
    1. Pilih penyeimbang muatan Anda (EC2 > Penyeimbang Muatan).
    2. Pada tab Listeners, klik "Ubah" di kolom Cipher.
    3. Pastikan tombol radio “Kebijakan Keamanan Yang Telah Ditentukan” dipilih
    4. Pada dropdown, pilih kebijakan "ELBSecurityPolicy-2014-10".
    5. Klik "Simpan" untuk menerapkan pengaturan pada listener.
    6. Ulangi semua langkah ini untuk setiap listener yang menggunakan HTTPS atau SSL untuk setiap penyeimbang muatan.

Untuk informasi lebih lanjut, kunjungi http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.

 

Amazon CloudFront:
Pelanggan yang menggunakan sertifikat SSL Kustom dengan Amazon CloudFront dapat menonaktifkan SSLv3 dengan mengikuti langkah-langkah pada Konsol Manajemen CloudFront di bawah ini:
    1. Pilih distribusi Anda, klik "Pengaturan Distribusi."
    2. Klik tombol “Edit” pada tab “Umum”.
    3. Pada bagian "Dukungan Klien SSL Kustom", ambil pilihan yang berbunyi: "Hanya Klien yang Mendukung Indikasi Nama Server (SNI)"
    4. Kli “Ya, Edit” untuk menyimpan pengaturan yang telah diubah ini.

Untuk informasi selengkapnya, kunjungi http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni

 

-----------------------------------------------------------------

14/10/2014 7:05PM PDT - Pembaruan -

Kami sedang meninjau semua layanan kami sehubungan dengan masalah POODLE dengan SSL (CVE-2014-3566) yang baru-baru ini diumumkan. Sebagai tindakan pencegahan keamanan, kami menyarankan pelanggan untuk menonaktifkan SSLv3 jika memungkinkan untuk dilakukan. Ini termasuk menonaktifkan SSLv3 baik pada server maupun klien.

Titik akhir API AWS tidak terpengaruh oleh masalah ini, dan pelanggan yang menggunakan SDK AWS maupun SDK lain untuk mengakses titik akhir API kami tidak perlu melakukan tindakan apa pun.

Kami sedang menguji semua situs milik AWS untuk mengetahui adanya paparan, dan kami akan memperbarui buletin ini.

 

AMI Amazon Linux:

Kami sedang mengevaluasi masalah dan setelah patch tersedia, kami akan memasukkannya ke repositori serta memublikasikan buletin keamanan di https://alas.aws.amazon.com/

Amazon Elastic Load Balancing:
Semua penyeimbang muatan yang dibuat setelah tanggal 14/10/2014 5:00 PM PDT akan menggunakan Kebijakan Negosiasi SSL baru yang secara default tidak akan mengaktifkan SSLv3 lagi.

Pelanggan yang membutuhkan SSLv3 dapat mengaktifkannya kembali dengan memilih Kebijakan Negosiasi SSL 2014-01 atau dengan mengonfigurasi secara manual cipher serta protokol SSL yang digunakan oleh penyeimbang muatan. Untuk penyeimbang muatan saat ini, ikuti langkah-langkah di bawah ini untuk menonaktifkan SSLv3 melalui ELB Management
Konsol:
    1. Pilih penyeimbang muatan Anda (EC2 > Penyeimbang Muatan).
    2. Pada tab Listeners, klik "Ubah" di kolom Cipher.
    3. Pastikan tombol radio “Kebijakan Keamanan Yang Telah Ditentukan” dipilih
    4. Pada dropdown, pilih kebijakan "ELBSecurityPolicy-2014-10".
    5. Klik "Simpan" untuk menerapkan pengaturan pada listener.
    6. Ulangi semua langkah ini untuk setiap listener yang menggunakan HTTPS atau SSL untuk setiap penyeimbang muatan.

Untuk informasi lebih lanjut, kunjungi http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.

Amazon CloudFront:
Pelanggan yang menggunakan sertifikat SSL Kustom dengan Amazon CloudFront dapat menonaktifkan SSLv3 dengan mengikuti langkah-langkah pada Konsol Manajemen CloudFront di bawah ini:
    1. Pilih distribusi Anda, klik "Pengaturan Distribusi."
    2. Klik tombol “Edit” pada tab “Umum”.
    3. Pada bagian "Dukungan Klien SSL Kustom", ambil pilihan yang berbunyi: "Hanya Klien yang Mendukung Indikasi Nama Server (SNI)"
    4. Kli “Ya, Edit” untuk menyimpan pengaturan yang telah diubah ini.

Untuk informasi selengkapnya, kunjungi http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni

 

-----------------------------------------------------------------

14/10/2014 5:00PM PDT - Pembaruan -

Kami sedang meninjau semua layanan kami sehubungan dengan masalah POODLE dengan SSL (CVE-2014-3566) yang baru-baru ini diumumkan. Sebagai tindakan pencegahan keamanan, kami menyarankan pelanggan untuk menonaktifkan SSLv3 jika memungkinkan untuk dilakukan. Ini termasuk menonaktifkan SSLv3 baik pada server maupun klien.

Titik akhir API AWS tidak terpengaruh oleh masalah ini, dan pelanggan yang menggunakan SDK AWS maupun SDK lain untuk mengakses titik akhir API kami tidak perlu melakukan tindakan apa pun.

Kami sedang menguji semua situs milik AWS untuk mengetahui adanya paparan, dan kami akan memperbarui buletin ini pada pukul 7:00 PM Waktu Pasifik tanggal 14 Oktober 2014.

 

Amazon Elastic Load Balancing:
Semua penyeimbang muatan yang dibuat setelah tanggal 14/10/2014 5:00 PM PDT akan menggunakan Kebijakan Negosiasi SSL baru yang secara default tidak akan mengaktifkan SSLv3 lagi.

Pelanggan yang membutuhkan SSLv3 dapat mengaktifkannya kembali dengan memilih Kebijakan Negosiasi SSL 2014-01 atau dengan mengonfigurasi secara manual cipher serta protokol SSL yang digunakan oleh penyeimbang muatan. Untuk penyeimbang muatan saat ini, ikuti langkah-langkah di bawah ini untuk menonaktifkan SSLv3 melalui ELB Management
Konsol:
    1. Pilih penyeimbang muatan Anda (EC2 > Penyeimbang Muatan).
    2. Pada tab Listeners, klik "Ubah" di kolom Cipher.
    3. Pastikan tombol radio “Kebijakan Keamanan Yang Telah Ditentukan” dipilih
    4. Pada dropdown, pilih kebijakan "ELBSecurityPolicy-2014-10".
    5. Klik "Simpan" untuk menerapkan pengaturan pada listener.
    6. Ulangi semua langkah ini untuk setiap listener yang menggunakan HTTPS atau SSL untuk setiap penyeimbang muatan.

Untuk informasi lebih lanjut, kunjungi http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.

 

Amazon CloudFront:
Pelanggan yang menggunakan sertifikat SSL Kustom dengan Amazon CloudFront dapat menonaktifkan SSLv3 dengan mengikuti langkah-langkah pada Konsol Manajemen CloudFront di bawah ini:
    1. Pilih distribusi Anda, klik "Pengaturan Distribusi."
    2. Klik tombol “Edit” pada tab “Umum”.
    3. Pada bagian "Dukungan Klien SSL Kustom", ambil pilihan yang berbunyi: "Hanya Klien yang Mendukung Indikasi Nama Server (SNI)"
    4. Kli “Ya, Edit” untuk menyimpan pengaturan yang telah diubah ini.

Untuk informasi selengkapnya, kunjungi http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni

 

 

-----------------------------------------------------------------

14/10/2014 3:30PM PDT

Kami sedang meninjau semua layanan kami sehubungan dengan masalah POODLE dengan SSL (CVE-2014-3566) yang baru-baru ini diumumkan. Kami akan memperbarui buletin ini pada pukul 5:00 PM Waktu Pasifik tanggal 14 Oktober 2014

Sebagai rekomendasi keamanan, kami menyarankan agar pelanggan kami menonaktifkan SSLv3 jika memungkinkan untuk dilakukan. Ini termasuk menonaktifkan SSLv3 baik pada server maupun klien.

Pelanggan Elastic Load Balancing dapat menonaktifkan SSLv3 untuk ELB mereka dengan mengikuti langkah-langkah untuk menonaktifkan SSLv3 melalui Konsol Manajemen ELB di bawah ini:
    1. Pilih penyeimbang muatan Anda (EC2 > Penyeimbang Muatan).
    2. Pada tab Listener, klik “Ubah” di kolom Cipher.
    3. Pastikan tombol radio untuk “Kebijakan Keamanan Kustom” dipilih.
    4. Pada bagian “Protokol SSL” buang tanda centang “Protokol SSLv3”.
    5. Klik "Simpan" untuk menerapkan pengaturan pada listener.
    6. Ulangi semua langkah ini untuk setiap listener yang menggunakan HTTPS atau SSL untuk setiap penyeimbang muatan.

Untuk informasi lebih lanjut, kunjungi http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html