Avviso CVE-2014-3566

2015/01/07 8:30 AM PST - Aggiornamento -

Amazon CloudFront:

Abbiamo disabilitato SSLv3 per tutti i clienti che utilizzano SSL con il nome di dominio predefinito di CloudFront (*.cloudfront.net).

----------------------------------------------------------------------------------------

2014/10/24 7:30 PM PDT - Aggiornamento -

Amazon CloudFront:

Oggi, abbiamo lanciato la funzione che consente ai clienti di disabilitare o abilitare SSLv3 per i certificati SSL personalizzati per gli indirizzi IP dedicati. Le distribuzioni esistenti, create prima del lancio di questa funzione, continueranno a consentire l'uso di SSLv3 per impostazione predefinita. I clienti che desiderano disabilitare SSLv3 nelle distribuzioni esistenti che utilizzano l'SSL personalizzato per gli indirizzi IP dedicati possono eseguire questa operazione mediante l'API di CloudFront o la Console di gestione AWS. Consigliamo ai clienti di disabilitare SSLv3 se il loro caso di utilizzo lo consente. Leggi di più su questo argomento nella nostra documentazione.

Come promemoria, il 3 novembre 2014, inizieremo a disabilitare SSLv3 per TUTTI i clienti che utilizzano SSL con il nome di dominio CloudFront predefinito (*.cloudfront.net).

----------------------------------------------------------------------------------------

2014/10/17 5:00 PM PDT - Aggiornamento

Amazon CloudFront:

Saremo lieti di fornire tre aggiornamenti relativi ai nostri piani per il supporto di SSLv3 in Amazon CloudFront.

La prossima settimana offriremo ai clienti che utilizzano certificati SSL personalizzati per gli indirizzi IP dedicati di scegliere se le connessioni SSLv3 devono essere accettate o meno

• I clienti possono disabilitare o abilitare SSLv3 per tali certificati mediante i parametri di configurazione nell' l'API di Amazon CloudFront o la Console di gestione AWS.

• Le distribuzioni esistenti create prima del lancio di questa funzione continueranno a consentire l'uso di SSLv3 per impostazione predefinita. I clienti che desiderano disabilitare SSLv3 nelle distribuzioni esistenti che utilizzano l'SSL personalizzato per gli indirizzi IP dedicati possono eseguire questa operazione mediante l'API di CloudFront o la Console di gestione AWS.
La prossima settimana completeremo anche la distribuzione di TLS_FALLBACK_SCSV su tutti i server presenti nelle edge location CloudFront. Con questo aggiornamento le connessioni dei client che supportano anche TLS_FALLBACK_SCSV non possono essere esternamente sottoposte a downgrade a SSLv3.
A partire dal 3 novembre 2014, inizieremo a disabilitare SSLv3 per TUTTI i clienti che utilizzano SSL mediante il nome di dominio CloudFront predefinito (*.cloudfront.net)

• Dopo questo momento, sarà solo la policy di Amazon CloudFront a consentire l'uso dei certificati SSLv3 personalizzati per gli indirizzi IP dedicati

Come indicato nell'aggiornamento precedente, i clienti che utilizzano i certificati SSL personalizzati per gli indirizzi IP dedicati possono disabilitare immediatamente SSLv3 passando all'SSL personalizzato solo con SNI. Le distribuzioni con SSL personalizzato solo con SNI negano tutte le connessioni SSLv3.

2014/10/15 3:10PM PDT - Aggiornamento -

Abbiamo riesaminato tutti i nostri servizi in merito al problema POODLE con SSL annunciato di recente (CVE-2014-3566). Come precauzione di sicurezza, consigliamo ai nostri clienti di disabilitare SSLv3 nei casi in cui possono farlo. Questa precauzione include la disabilitazione di SSLv3 sia sulle implementazioni client che server.

Gli endpoint delle API AWS non sono interessati dall'attacco descritto nel documento relativo a POODLE. Anziché utilizzare i cookie per autenticare gli utenti, per ogni richiesta viene generata una firma univoca. Per accedere agli endpoint della nostra API, non è richiesta alcuna azione da parte dei clienti che utilizzano AWS SDK o altri SDK.

AMI Amazon Linux:
I repository dell'AMI Amazon Linux includono ora le patch per POODLE (CVE-2014-3566) così come per ulteriori problemi di OpenSSL (CVE-2014-3513, CVE-2014-3568, CVE-2014-3567) che sono state rilasciate il 15-10-2014. Per ulteriori informazioni, visita le pagine https://alas.aws.amazon.com/ALAS-2014-426.html e https://alas.aws.amazon.com/ALAS-2014-427.html.

Amazon Elastic Load Balancing:
Tutti i sistemi di bilanciamento del carico creati dopo il 10/14/2014 5:00 PM PDT utilizzeranno la policy di negoziazione SSL che, per impostazione predefinita, non consentirà più l'uso di SSLv3.
I clienti che richiedono SSLv3 possono riabilitarlo sezionando la policy di negoziazione SSL 2014-01 o configurando manualmente le cifre e i protocolli SSL utilizzati dal sistema di bilanciamento del carico. Per i sistemi di bilanciamento del carico esistenti, segui la procedura descritta di seguito per disabilitare SSLv3 tramite ELB Management
Console:
    1. Seleziona il sistema di bilanciamento del carico (EC2 > Load Balancers (Sistemi di bilanciamento del carico) ).
    2. Nella scheda Listeners (Listener) fai clic su "Change" (Modifica) nella colonna Cipher (Cifra).
    3. Assicurati che il pulsante d'opzione "Predefined Security Policy" (Policy di sicurezza predefinita) sia selezionato.
    4. Nell'elenco a discesa seleziona la policy "ELBSecurityPolicy-2014-10".
    5. Fai clic su "Save" (Salva) per applicare le impostazioni al listener.
    6. Ripeti questi passaggi per ciascun listener che utilizza HTTPS o SSL per ciascun sistema di bilanciamento del carico.

Per ulteriori informazioni, consulta http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.

Amazon CloudFront:
I clienti che utilizzano i certificati SSL personalizzati con Amazon CloudFront possono disabilitare SSLv3 completando la procedura riportata di seguito nella console di gestione di CloudFront:
    1. Seleziona la tua distribuzione, facendo clic su "Distribution Settings." (Impostazioni distribuzione).
    2. Fai clic sul pulsante "Edit" (Modifica) nella scheda "General" (Generale).
    3. Nella sezione "Custom SSL Client Support" (Supporto client SSL personalizzato) seleziona l'opzione: "Only Clients that Support Server Name Indication (SNI)" (Solo i client che supportano l'indicazione del nome del server (SNI)).
    4. Fai clic su "Yes, Edit" (Sì, Modifica) per salvare le impostazioni modificate.

Per ulteriori informazioni, consulta http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni

-----------------------------------------------------------------

2014/10/14 7:05PM PDT - Aggiornamento -

Stiamo riesaminando tutti i nostri servizi alla luce del problema POODLE con SSL annunciato di recente (CVE-2014-3566). Come precauzione di sicurezza, consigliamo ai nostri clienti di disabilitare SSLv3 nei casi in cui possono farlo. Questa precauzione include la disabilitazione di SSLv3 sia sulle implementazioni client che server.

Gli endpoint delle API AWS non sono interessati da questo problema, quindi, per accedere agli endpoint della nostra API, non è richiesta alcuna azione da parte dei clienti che utilizzano AWS SDK o altri SDK.

Stiamo esaminando tutti i siti Web di proprietà di AWS relativamente all'esposizione e aggiorneremo questo bollettino.

AMI Amazon Linux:

Stiamo valutando il problema e quando saranno disponibili le patch, le inseriremo nel nostro repository, quindi pubblicheremo un bollettino nella pagina https://alas.aws.amazon.com/

I clienti che richiedono SSLv3 possono riabilitarlo sezionando la policy di negoziazione SSL 2014-01 o configurando manualmente le cifre e i protocolli SSL utilizzati dal sistema di bilanciamento del carico. Per i sistemi di bilanciamento del carico esistenti, segui la procedura descritta di seguito per disabilitare SSLv3 tramite ELB Management
Console:
    1. Seleziona il sistema di bilanciamento del carico (EC2 > Load Balancers (Sistemi di bilanciamento del carico) ).
    2. Nella scheda Listeners (Listener) fai clic su "Change" (Modifica) nella colonna Cipher (Cifra).
    3. Assicurati che il pulsante d'opzione "Predefined Security Policy" (Policy di sicurezza predefinita) sia selezionato.
    4. Nell'elenco a discesa seleziona la policy "ELBSecurityPolicy-2014-10".
    5. Fai clic su "Save" (Salva) per applicare le impostazioni al listener.
    6. Ripeti questi passaggi per ciascun listener che utilizza HTTPS o SSL per ciascun sistema di bilanciamento del carico.

Per ulteriori informazioni, consulta http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.

Per ulteriori informazioni, consulta http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni

-----------------------------------------------------------------

2014/10/14 5:00PM PDT - Aggiornamento -

Stiamo esaminando tutti i siti Web di proprietà di AWS relativamente all'esposizione e aggiorneremo questo bollettino il 14 ottobre 2014, alle 7:00 PM Pacific Time.

Per ulteriori informazioni, consulta http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.

Amazon CloudFront:
I clienti che utilizzano i certificati SSL personalizzati con Amazon CloudFront possono disabilitare SSLv3 completando la procedura riportata di seguito nella console di gestione di CloudFront:
    1. Seleziona la tua distribuzione, facendo clic su "Distribution Settings." (Impostazioni distribuzione).
    2. Fai clic sul pulsante "Edit" (Modifica) nella scheda "General" (Generale).
    3. Nella sezione "Custom SSL Client Support" (Supporto client SSL personalizzato) seleziona l'opzione: "Only Clients that Support Server Name Indication (SNI)" (Solo i client che suportano l'indicazione del nome del server).
    4. Fai clic su "Yes, Edit" (Sì, Modifica) per salvare le impostazioni modificate.

Per ulteriori informazioni, consulta http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni

-----------------------------------------------------------------

2014/10/14 3:30PM PDT

Stiamo riesaminando tutti i nostri servizi alla luce del problema POODLE con SSL annunciato di recente (CVE-2014-3566). Aggiorneremo questo bollettino il 14 ottobre, 2014 alle ore 5:00 PM Pacific Time

Come raccomandazione sulla sicurezza, consigliamo ai clienti di disabilitare SSLv3 ove possibile. Questa precauzione include la disabilitazione di SSLv3 sia sulle implementazioni client che server.

I clienti di Elastic Load Balancing possono disabilitare SSLv3 per i propri ELBs completando i passaggi riportati di seguito per disabilitare SSLv3 tramite la console ELB Management Console:
    1. Seleziona il sistema di bilanciamento del carico (EC2 > Load Balancers (Sistemi di bilanciamento del carico) ).
    2. Nella scheda Listeners (Listener) fai clic su "Change" (Modifica) nella colonna Cipher (Cifra).
    3. Assicurarsi che il pulsane d'opzione “Custom Security Policy” (Policy di sicurezza personalizzata) sia selezionato.
    4. Nella sezione “SSL Protocols” (Protocolli SSL) deseleziona “Protocol-SSLv3”.
    5. Fai clic su "Save" (Salva) per applicare le impostazioni al listener.
    6. Ripeti questi passaggi per ciascun listener che utilizza HTTPS o SSL per ciascun sistema di bilanciamento del carico.

Per ulteriori informazioni consulta http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html

Avviso CVE-2014-3566

Fine del supporto per Internet Explorer