2016 年 3 月 1 日午前 10 時 30 分 (太平洋標準時)

 

「DROWN」と呼ばれる CVE-2016-0800 で説明されている問題を確認した結果、AWS サービは影響を受けないと判断しました。SSLv2 を明示的に受け入れるためにデフォルトの ELB 設定を変更した Amazon Elastic Load Balancing をご使用のお客様は、すぐに以下の手順通りにご使用の環境から SSLv2 を無効にしてください。

 

次の手順を使用して、AWS コンソール経由で AWS 推奨の事前定義済みセキュリティポリシーを有効にできます。

    1.ロードバランサーを選択します (EC2 > ロードバランサー)。

    2.リスナータブで、暗号列の [変更] をクリックします。

    3.[事前定義されたセキュリティポリシー] のラジオボタンが選択されていることを確認します

    4.ドロップダウンで、[ELBSecurityPolicy-2015-05] ポリシーを選択します。

    5.[保存] をクリックして、設定をリスナーに適用します。

    6.各ロードバランサーに対して HTTPS または SSL を使用しているリスナーごとにこれらの手順を繰り返します。

詳細については、以下を参照してください。

http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html