2016/03/01 - 10:30 AM PDT
Abbiamo esaminato i problemi descritti in CVE-2016-0800, noti come “DROWN,” e abbiamo rilevato che i servizi AWS non sono interessati. I clienti Amazon Elastic Load Balancer che hanno modificato le loro configurazione ELB predefinite per accettare esplicitamente SSLv2 sono invitati ad attenersi ai passaggi di seguito per disabilitare SSLv2 dal proprio ambiente.
I seguenti passaggi consentono di attivare la policy di sicurezza predefinita consigliata da AWS attraverso la console AWS:
1. Selezionare il sistema di bilanciamento del carico (EC2 > Load Balancers).
2. Nella scheda Listeners (Listener), fare clic su "Change" (Modifica) nella colonna Cipher (Cifra).
3. Assicurarsi che il pulsante d'opzione "Predefined Security Policy" (Criterio di sicurezza predefinito) sia selezionato.
4. Nel menu a discesa, selezionare la policy "ELBSecurityPolicy-2015-05".
5. Fare clic su "Save" per applicare le impostazioni al listener.
6. Ripetere i passaggi per ciascun listener che si avvale di HTTPS o SSL per ciascun sistema di bilanciamento del carico.
Per ulteriori informazioni, consulta:
http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html