Terzo aggiornamento: 2016/05/28 16:30 PDT
Secondo aggiornamento: 2016/05/07 14:30 PDT
Primo aggiornamento: 2016/05/03 11:00 PDT
Bollettino originale: 2016/05/03 7:30 PDT
Siamo al corrente dell'avviso di sicurezza su OpenSSL pubblicato all'indirizzo https://www.openssl.org/news/secadv/20160503.txt. Il team di progetto OpenSSL ha rilasciato le versioni di OpenSSL 1.0.2h e 1.0.1t.
L'infrastruttura di AWS alla quale solitamente accedono i browser Web, come per esempio la Console di gestione AWS, S3, CloudFront ed ELB, preferisce e raccomanda le suite di cifratura AES-GCM TLS/SSL. Pertanto, le interazioni dei clienti con AWS attraverso i moderni browser Web o le applicazioni client che negoziano in modo appropriato AES-GCM per TLS/SSL non sono interessate da questo problema.
In linea con le buone pratiche di sicurezza consigliate da AWS, AWS invita vivamente i clienti a effettuare l'aggiornamento all'ultima versione di OpenSSL per una maggiore sicurezza e stabilità nei loro ambienti AWS distribuiti e nelle applicazioni client.
Un pacchetto aggiornato di OpenSSL è disponibile all'interno dei repository di Amazon Linux. Le istanze avviate con la configurazione predefinita di Amazon Linux a partire dal 03/05/2016 includeranno automaticamente il pacchetto aggiornato. I clienti con istanze preesistenti delle AMI Amazon Linux AMI sono invitati a eseguire il seguente comando per essere certi di ricevere il pacchetto aggiornato:
yum update openssl
Maggiori informazioni sul pacchetto aggiornato di Amazon Linux sono disponibili nel Centro di sicurezza sulle AMI Amazon Linux.
AWS apporterà i necessari aggiornamenti a OpenSSL per migliorare la sicurezza per i clienti AWS che utilizzano browser Web obsoleti, che non sono in grado di negoziare le suite di cifratura AES-GCM TLS/SSL preferite e raccomandate da AWS quando interagiscono con la Console di gestione AWS.
AWS ha aggiornato OpenSSL per S3, ELB e CloudFront per supportare i clienti AWS che forniscono contenuti protetti da TLS/SSL ai quali accedono browser Web obsoleti, che non sono in grado di negoziare le suite di cifratura AES-GCM TLS/SSL preferite e raccomandate da AWS.
Ai clienti non è richiesta alcuna altra azione oltre all'aggiornamento delle istanze Amazon Linux.