2016년 3월 1일 오전 10시 30분(태평양 표준시)
“DROWN”이라고 알려진 CVE-2016-0800에 설명된 문제를 검토했으며, AWS 서비스는 영향을 받지 않은 것으로 확인되었습니다. 명시적으로 SSLv2를 수락하기 위해 기본 ELB 구성을 수정한 Amazon Elastic Load Balancer 고객은 즉시 아래 단계를 수행하여 환경에서 SSLv2를 비활성화해야 합니다.
다음 단계를 사용하면 AWS 콘솔을 통해 AWS에서 권장하는 사전 정의 보안 정책을 활성화할 수 있습니다.
1. 로드 밸런서를 선택합니다(EC2 > 로드 밸런서).
2. [리스너] 탭의 암호 열에서 [변경]을 클릭합니다.
3. [사전 정의 보안 정책]에 대한 라디오 버튼이 선택되었는지 확인합니다.
4. 드롭다운에서 [ELBSecurityPolicy-2015-05] 정책을 선택합니다.
5. [저장]을 클릭하여 리스너에 설정을 적용합니다.
6. 각 로드 밸런서에 대해 HTTPS 또는 SSL을 사용하는 각 리스너에 대해 이 단계를 반복합니다.
자세한 내용은 다음을 참조하십시오.
http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html