01/03/2016 - 10:30 PDT

 

Analisamos os problemas descritos em CVE-2016-0800, conhecido como "DROWN", e determinamos que os Serviços da AWS não são afetados. Os clientes do Amazon Elastic Load Balancer que modificaram suas configurações ELB padrão para aceitar explicitamente o SSLv2 devem seguir imediatamente as etapas abaixo para desativar o SSLv2 de seu ambiente.

 

As etapas a seguir podem ser usadas para ativar a Política de segurança predefinida recomendada pela AWS através do Console AWS:

    1. Selecione seu balanceador de carga (EC2> Load Balancers).

    2. Na guia Listeners, clique em "Change" na coluna Cipher.

    3. Verifique se o botão de opção "Política de segurança predefinida" está selecionado

    4. No menu suspenso, selecione a política "ELBSecurityPolicy-2015-05".

    5. Clique em "Salvar" para aplicar as configurações do listener.

    6. Repita essas etapas para cada listener que estiver usando HTTPS ou SSL para cada load balancer.

Para obter mais informações, consulte:

http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html