20/11/2014 10:30 PST-
AWS Elastic Beanstalk
Abbiamo inviato un aggiornamento a tutti i container Windows di Elastic Beanstalk con una correzione per MS14-066, come descritto all'indirizzo https://technet.microsoft.com/library/security/ms14-066. I clienti con ambienti a istanza singola devono eseguire l'aggiornamento per risolvere il problema descritto in MS14-066. Inoltre, consigliamo l'aggiornamento anche ai clienti con ambienti a più istanze. All'indirizzo https://forums.aws.amazon.com/ann.jspa?annID=2760 dei nostri forum di discussione sono pubblicati i passaggi che i nostri clienti dovranno compiere per aggiornare i loro ambienti.
---------------------------------------------------------------
18/11/2014 10:30 PST -
Abbiamo rivisto tutti i servizi AWS per verificarne l'impatto per il problema descritto nel bollettino di sicurezza Microsoft MS14-066: una vulnerabilità in SChannel può consentire l'esecuzione di codice remoto(CVE-2014-6321). Ad eccezione dei servizi elencati di seguito, siamo stati in grado di verificare che i servizi non sono stati interessati o siamo stati in grado di applicare mitigazioni che non richiedono l'intervento del cliente.
Amazon EC2:
I clienti che eseguono istanze di Amazon EC2 lanciate dalle AMI di Microsoft Windows, incluse le AMI di AWS Marketplace e le AMI personalizzate, devono aggiornare le loro istanze eseguendo Windows Update o seguendo le istruzioni all'indirizzo https://technet.microsoft.com/library/security/ms14-066. I nostri clienti che lanciano nuove istanze Windows dovranno eseguire Windows Update per installare l'aggiornamento di sicurezza. Le AMI Windows Update contenenti l'aggiornamento per questo problema, senza necessità di richiedere l'esecuzione di Windows Update, dovrebbero essere disponibili entro il 25/11/2014.
AWS Elastic Beanstalk:
Abbiamo stabilito che solo gli ambienti a singola istanza di Windows sono interessati dal problema descritto in MS14-066. Stiamo creando stack di soluzioni aggiornati che i clienti potranno scambiare con tempi di inattività minimi; prevediamo che siano disponibili entro le 23:59 PST del 18/11/2014. Forniremo istruzioni dettagliate nel forum di Elastic Beanstalk in quel momento.
---------------------------------------------------------------
14/11/2014 17:30 PST -
Stiamo continuando a indagare sui problemi segnalati con la patch fornita per MS14-066. Questo stato degli aggiornamenti viene fornito per il servizio seguente. Continueremo ad aggiornare questo Bollettino di sicurezza per gli altri servizi precedentemente identificati man mano che saranno disponibili ulteriori informazioni.
Amazon Relational Database Service (RDS):
Amazon RDS creerà e distribuirà tutti gli aggiornamenti necessari alle istanze del server SQL di RDS interessate. Qualsiasi aggiornamento necessario richiederà il riavvio dell'istanza del database RDS. La comunicazione del momento specifico dell'aggiornamento per ogni istanza sarà comunicata via e-mail o AWS Support direttamente ai clienti prima di ogni riavvio dell'istanza.
---------------------------------------------------------------
12/11/2014 21:30 PST-
Abbiamo ricevuto rapporti secondo cui la patch fornita da Microsoft per MS14-066 ha causato problemi, in particolare per quanto riguarda la disconnessione delle sessioni TLS 1.2 durante lo scambio di chiavi.
Mentre indaghiamo su questo problema con la patch fornita, suggeriamo ai nostri clienti di rivedere i loro gruppi di sicurezza e di assicurarsi che l'accesso esterno alle istanze di Windows sia stato adeguatamente limitato nella misura del possibile. Di seguito sono riportate le linee guida a cui i nostri clienti possono fare riferimento quando esaminano i loro gruppi di sicurezza.
Documentazione sul gruppo di sicurezza dell'istanza EC2 per Windows: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html
Documentazione sui gruppi di sicurezza AWS Elastic Beanstalk: http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/using-features.managing.ec2.html
Documentazione sul gruppo di sicurezza del server SQL di Amazon RDS: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html
Continueremo a fornire aggiornamenti a questo bollettino di sicurezza.
---------------------------------------------------------------
11/11/2014 21:00 PST-
Siamo al corrente del MS14-066 per cui è stata rilasciata una patch l'11 novembre 2014. Al momento, stiamo rivedendo i servizi AWS e aggiorneremo questo bollettino con maggiori dettagli al più presto.