08 aprile 2014
Abbiamo esaminato tutti i servizi AWS riguardo all’impatto del problema descritto in CVE-2014-0160 (il cosiddetto bug di HeartBleed). A eccezione dei servizi elencati di seguito, abbiamo determinato che i servizi non hanno risentito del problema o siamo stati in grado di applicare mitigazioni che non richiedono un intervento del cliente.
Elastic Load Balancing: possiamo confermare che tutti i sistemi di bilanciamento del carico interessati dal problema descritto in CVE-2014-0160 sono stati ora aggiornati in tutte le regioni. Se stai terminando le tue connessioni SSL sul tuo Elastic Load Balancer, non sei più vulnerabile al bug di HeartBleed. Come ulteriore precauzione, ti consigliamo di sostituire periodicamente i certificati SSL utilizzando le informazioni fornite nella documentazione sul Elastic Load Balancing: http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/US_UpdatingLoadBalancerSSL.html
Amazon EC2: i clienti che utilizzano OpenSSL sulle proprie immagini Linux devono aggiornarle come misura di protezione contro il bug di HeartBleed descritto in CVE-2014-0160. Sono riportati di seguito alcuni link per istruzioni su come aggiornare molte delle popolari offerte Linux. Come ulteriore misura precauzionale, ti consigliamo di sostituire regolarmente eventuali segreti o chiavi (per es., i certificati SSL) che sono stati utilizzati dal processo OpenSSL interessato.
Amazon Linux AMI: https://aws.amazon.com/amazon-linux-ami/security-bulletins/ALAS-2014-320/
Red Hat Enterprise Linux: https://rhn.redhat.com/errata/RHSA-2014-0376.html
Ubuntu: http://www.ubuntu.com/usn/usn-2165-1/
AWS OpsWorks: per aggiornare le istanze gestite OpsWorks, esegui il comando update_dependencies per ciascuno dei tuoi stack per ottenere i pacchetti OpenSSL più recenti per Ubuntu e Amazon Linux. Per impostazione predefinita, le nuove istanze di OpsWorks installeranno tutti gli aggiornamenti di sicurezza all’avvio. Per maggiori informazioni: https://forums.aws.amazon.com/ann.jspa?annID=2429
AWS Elastic Beanstalk: stiamo collaborando con un ridotto numero di clienti per assisterli nell’aggiornamento dei loro ambienti a istanza singola SSL abilitati che sono interessati da questo bug.
Amazon CloudFront: abbiamo mitigato il problema. Come ulteriore precauzione, ti consigliamo di sostituire periodicamente i certificati SSL utilizzando le informazioni fornite nella documentazione su CloudFront: http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html