20 ноября 2014 г., 10:30 по тихоокеанскому стандартному времени
AWS Elastic Beanstalk
Мы добавили обновление с исправлением уязвимости, описанной в бюллетене по безопасности MS14-066, для всех контейнеров Elastic Beanstalk для Windows. Подробнее см. на веб-странице https://technet.microsoft.com/library/security/ms14-066. Клиенты со средами с одним инстансом должны установить обновление, чтобы устранить проблему, рассмотренную в MS14-066. Кроме того, клиентам со средами с несколькими инстансами также рекомендуется установить обновление. Пошаговые инструкции, выполнив которые клиенты смогут обновить среду, приведены на наших форумах: https://forums.aws.amazon.com/ann.jspa?annID=2760.
---------------------------------------------------------------
18 ноября 2014 н., 10:30 по тихоокеанскому стандартному времени
Мы проанализировали влияние проблемы, описанной в бюллетене по безопасности MS14-066: Vulnerability in SChannel could allow remote code execution (CVE-2014-6321), на функционирование всех сервисов AWS. Мы подтверждаем, что сервисы AWS, за исключением перечисленных ниже, не затронуты этой проблемой либо уже вне зоны риска, так как мы применили меры нейтрализации (от пользователей не требуется никаких действий).
Amazon EC2
Клиенты, инстансы Amazon EC2 которых запущены с использованием AMI Microsoft Windows, включая AMI с AWS Marketplace и собственные, должны установить обновление через Центр обновления Windows или следуя указаниям на веб-странице https://technet.microsoft.com/library/security/ms14-066. Клиентам, запускающим новые инстансы Windows, требуется установить обновление безопасности через Центр обновления Windows. Ожидается, что обновленные AMI Windows, содержащие исправление этой уязвимости, для установки которого не требуется запускать Центр обновления Windows, будут доступны к 25 ноября 2014 г.
AWS Elastic Beanstalk
Мы определили, что проблема, описанная в MS14-066, затрагивает только среды с одним инстансом Windows. На данный момент мы создаем обновленные стеки решений, которые клиенты смогут использовать с минимальным временем простоя. Ожидается, что они будут доступны к 18 ноября 2014 г., 23:59 по тихоокеанскому стандартному времени. К этому времени мы предоставим подробные инструкции на форуме Elastic Beanstalk.
---------------------------------------------------------------
14 ноября 2014 г., 17:30 по тихоокеанскому стандартному времени
Мы продолжаем исследовать проблемы, связанные с исправлением уязвимости, описанной в MS14-066, о которых сообщают наши клиенты. Это обновление касается сервиса ниже. Мы будем и впредь добавлять в этот бюллетень по безопасности информацию о других сервисах, о которых упоминалось ранее, по мере ее поступления.
Amazon Relational Database Service (RDS)
Команда Amazon RDS побеспокоится о создании и развертывании всех необходимых обновлений для затронутых инстансов RDS SQL Server. После установки любого обновления потребуется перезапустить инстанс базы данных RDS. Мы будем сообщать о времени обновления каждого инстанса непосредственно клиентам по электронной почте или через AWS Support, прежде чем перезапускать его.
---------------------------------------------------------------
12 ноября 2014 г., 21:30 по тихоокеанскому стандартному времени
Мы получили сообщения о том, что предоставленное компанией Microsoft исправление уязвимости, описанной в MS14-066, вызывает проблемы, в частности прерываются сеансы TLS 1.2 во время обмена ключами.
Пока мы работаем над решением этой проблемы с исправлением, предлагаем проверить настройки групп безопасности и убедится, что внешний доступ к инстансам Windows ограничен, насколько это возможно. Ниже приведены рекомендации, к которым могут обращаться наши клиенты, проверяя свои группы безопасности.
Документацию группы безопасности инстанса EC2 Windows см. на веб-странице http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html.
Документацию групп безопасности AWS Elastic Beanstalk см. на веб-странице http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/using-features.managing.ec2.html.
Документацию группы безопасности Amazon RDS SQL Server см. на веб-странице http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html.
Мы будем и впредь обновлять этот бюллетень по безопасности.
---------------------------------------------------------------
11 ноября 2014 г., 21:00 по тихоокеанскому стандартному времени
Нам известно об уязвимости, описанной в MS14-066, для нейтрализации которой 11 ноября 2014 года было предоставлено исправление. На данный момент мы проверяем сервисы AWS и в ближайшее время внесем в бюллетень дополнительные сведения.