20/11/2014 às 10h30 PST
AWS Elastic Beanstalk
Enviamos uma atualização para todos os contêineres do Elastic Beanstalk Windows com uma correção para MS14-066, conforme descrito em https://technet.microsoft.com/library/security/ms14-066. Os clientes com ambientes de instância única precisam atualizar para corrigir o problema descrito em MS14-066. Além disso, recomendamos que os clientes com ambientes multi-instâncias também façam a atualização. As etapas que os clientes precisam adotar para atualizar os respectivos ambientes estão publicadas nos nossos fóruns de discussão, em https://forums.aws.amazon.com/ann.jspa?annID=2760.
---------------------------------------------------------------
18/11/2014 às 10h30 PST
Revisamos todos os serviços da AWS quanto ao impacto do problema descrito no boletim de segurança da Microsoft MS14-066: Vulnerability in SChannel could allow remote code execution (CVE-2014-6321). Com exceção dos serviços listados abaixo, determinamos que os serviços não foram afetados ou pudemos aplicar mitigações que não exigem ação do cliente.
Amazon EC2:
Os clientes que executam instâncias do Amazon EC2 lançadas por AMIs do Microsoft Windows, inclusive AMIs do AWS Marketplace e AMIs personalizadas, devem atualizar suas instâncias executando o Windows Update ou seguindo as instruções em https://technet.microsoft.com/library/security/ms14-066. Nossos clientes que estão lançando novas instâncias do Windows precisarão executar o Windows Update para instalar a atualização de segurança. As AMIs atualizadas do Windows que contêm a correção para esse problema sem precisar executar o Windows Update devem ser disponibilizadas em 25/11/2014.
AWS Elastic Beanstalk:
Determinamos que apenas ambientes de instância única do Windows são afetados pelo problema descrito em MS14-066. Estamos criando pilhas de soluções atualizadas que os clientes poderão trocar com interrupções mínimas. Esperamos que elas sejam disponibilizadas até às 23h59 PST do dia 18/11/2014. Forneceremos instruções detalhadas no fórum do Elastic Beanstalk no momento certo.
---------------------------------------------------------------
14/11/2014 às 17h30 PST
Continuamos a investigar os problemas relatados com a correção fornecida para MS14-066. Esse status atualizado etá sendo fornecido para o serviço abaixo. Continuaremos a atualizar este boletim de segurança para os demais serviços identificados anteriormente à medida que mais informações forem disponibilizadas.
Amazon Relational Database Service (RDS):
O Amazon RDS desenvolverá e implantará as atualizações necessárias para instâncias afetadas do RDS SQL Server. Quaisquer atualizações necessárias exigirão a reinicialização da instância de banco de dados RDS. O cronograma específico da atualização para cada instância será comunicado por e-mail ou pelo AWS Support diretamente aos clientes antes da reinicialização de qualquer instância.
---------------------------------------------------------------
12/11/2014 às 21h30 PST
Recebemos comunicados de que a correção que a Microsoft forneceu para o MS14-066 está causando problemas, especificamente que as sessões do TLS 1.2 estão sendo desconectadas durante a troca de chaves.
Enquanto investigamos esse problema com a correção fornecida, sugerimos que nossos clientes revisem seus grupos de segurança e verifiquem se o acesso externo às instâncias do Windows foi devidamente restrito na máxima medida possível. Abaixo está uma orientação que nossos clientes podem consultar ao revisar os próprios grupos de segurança.
Documentação do grupo de segurança da instância EC2 do Windows: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html
Documentação dos grupos de segurança do AWS Elastic Beanstalk: http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/using-features.managing.ec2.html
Documentação do grupo de segurança do Amazon RDS SQL Server: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html
Continuaremos a fornecer atualizações neste boletim de segurança.
---------------------------------------------------------------
11/11/2014 às 21h00 PST
Estamos cientes do MS14-066 para o qual uma correção foi lançada em 11 de novembro de 2014. No momento, estamos analisando os serviços da AWS e atualizaremos este boletim com mais detalhes em breve.