8 de abril de 2014
Analisamos todos os serviços da AWS para verificar o impacto do problema descrito em CVE-2014-0160 (também conhecido como bug do Heartbleed). Com exceção dos serviços listados abaixo, determinamos que os serviços não foram afetados ou pudemos aplicar mitigações que não exigem ação do cliente.
Elastic Load Balancing: podemos confirmar que todos os load balancers afetados pelo problema descrito em CVE-2014-0160 foram atualizados em todas as regiões. Se você estiver encerrando suas conexões SSL no Elastic Load Balancer, não estará mais vulnerável ao bug do Heartbleed. Como precaução adicional, recomendamos que você alterne seus certificados SSL usando as informações fornecidas na documentação do Elastic Load Balancing: http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/US_UpdatingLoadBalancerSSL.html
Amazon EC2: os clientes que usam o OpenSSL em suas próprias imagens do Linux devem atualizá-las para se protegerem do bug do Heartbleed descrito em CVE-2014-0160. Encontre abaixo os links com as instruções para atualizar várias ofertas populares do Linux. Como precaução adicional, recomendamos que você alterne todos os segredos ou chaves (por exemplo, seus certificados SSL) que foram usados pelo processo OpenSSL afetado.
Amazon Linux AMI: https://aws.amazon.com/amazon-linux-ami/security-bulletins/ALAS-2014-320/
Red Hat Enterprise Linux: https://rhn.redhat.com/errata/RHSA-2014-0376.html
Ubuntu: http://www.ubuntu.com/usn/usn-2165-1/
AWS OpsWorks: para atualizar suas instâncias gerenciadas pelo OpsWorks, execute o comando update_dependencies de cada uma das suas pilhas para escolher os pacotes OpenSSL mais recentes para Ubuntu e Amazon Linux. As instâncias recém-criadas do OpsWorks instalam todas as atualizações de segurança na inicialização por padrão. Veja mais informações em: https://forums.aws.amazon.com/ann.jspa?annID=2429
AWS Elastic Beanstalk: estamos trabalhando com um número reduzido de clientes para ajudá-los a atualizar os ambientes de instância única habilitados para SSL afetados por esse bug.
Amazon CloudFront: mitigamos esse problema. Como precaução adicional, recomendamos que você alterne seus certificados SSL usando as informações fornecidas na documentação do CloudFront: http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html