การให้คำปรึกษาของ CVE-2014-3566

7/1/2015 8:30 น. เวลามาตรฐานแปซิฟิก - อัปเดต -

Amazon CloudFront:

เราได้ปิดใช้ SSLv3 สำหรับลูกค้าทุกคนที่ใช้ SSL ที่มีขื่อโดเมน CloudFront เริ่มต้น (*.cloudfront.net)

----------------------------------------------------------------------------------------

24/10/2014 19:30 น. เวลาตามฤดูกาลของแปซิฟิก - อัปเดต -

Amazon CloudFront:

วันนี้เราได้เปิดตัวคุณสมบัติที่ช่วยให้ลูกค้าสามารถปิดใช้งานหรือเปิดใช้งาน SSLv3 สำหรับใบรับรอง SSL แบบกำหนด IP เฉพาะ การเผยแพร่ที่มีอยู่ที่สร้างขึ้นก่อนการเปิดตัวคุณสมบัตินี้จะอนุญาต SSLv3 เป็นค่าเริ่มต้น ลูกค้าที่ต้องการปิดการใช้งาน SSLv3 ในการเผยแพร่ที่มีอยู่ที่ใช้ SSL แบบกำหนด IP เฉพาะสามารถทำได้โดยใช้ CloudFront API หรือ AWS Management Console เราขอแนะนำให้ลูกค้าปิดการใช้งาน SSLv3 หากกรณีการใช้งานของพวกเขาอนุญาต คุณสามารถอ่านเพิ่มเติมเกี่ยวกับวิธีการได้ในเอกสารของเรา

เพื่อเป็นการช่วยเตือน ตั้งแต่วันที่ 3 พฤศจิกายน 2014 เราได้ปิดใช้ SSLv3 สำหรับลูกค้าทุกคนที่ใช้ SSL ที่มีชื่อโดเมน CloudFront เริ่มต้น (*.cloudfront.net)

----------------------------------------------------------------------------------------

17/10/2014 17:00 น. เวลาตามฤดูกาลของแปซิฟิก - อัปเดต

Amazon CloudFront:

เราขอมอบข้อมูลการอัปเดตสามรายการเกี่ยวกับแผนของเราสำหรับการรองรับ SSLv3 ใน Amazon CloudFront

ในสัปดาห์หน้า เราจะเพิ่มความสามารถสำหรับลูกค้าที่ใช้ใบรับรอง SSL แบบกำหนด IP เฉพาะ เพื่อเลือกว่าจะยอมรับการเชื่อมต่อ SSLv3 หรือไม่

• ลูกค้าสามารถปิดใช้งานหรือเปิดใช้งาน SSLv3 สำหรับใบรับรอง SSL แบบกำหนด IP เฉพาะผ่านพารามิเตอร์การกำหนดค่าใน Amazon CloudFront API และ AWS Management Console

• การเผยแพร่ที่มีอยู่ที่สร้างขึ้นก่อนการเปิดตัวคุณสมบัตินี้จะอนุญาต SSLv3 เป็นค่าเริ่มต้น ลูกค้าที่ต้องการปิดการใช้งาน SSLv3 ในการเผยแพร่ที่มีอยู่ที่ใช้ SSL แบบกำหนด IP เฉพาะสามารถทำได้โดยใช้ CloudFront API หรือ AWS Management Console
สัปดาห์หน้า เราจะทำให้การติดตั้งใช้ TLS_FALLBACK_SCSV จริงไปยังเซิร์ฟเวอร์ต่างๆ ในสถานที่ตั้ง edge ของ CloudFront เสร็จสมบูรณ์ ด้วยการอัปเดตนี้ ลูกค้าสามารถรองรับ TLS_FALLBACK_SCSV ที่ไม่สามารถดาวน์เกรดการเชื่อมต่อภายนอกเป็น SSLv3
ตั้งแต่วันที่ 3 พฤศจิกายน 2014 เราได้ปิดใช้ SSLv3 สำหรับลูกค้าทุกคนที่ใช้ SSL ที่มีชื่อโดเมน CloudFront เริ่มต้น (*.cloudfront.net)

• หลังจากจุดนี้ จะเป็นนโยบายของ Amazon CloudFront ที่อนุญาตเฉพาะ SSLv3 ในใบรับรอง SSL แบบกำหนดเฉพาะ IP

ตามที่ระบุในการอัปเดตครั้งก่อน ลูกค้าที่ใช้ใบรับรอง SSL แบบกำหนดเฉพาะ IP สามารถไม่อนุญาต SSLv3 ทันทีโดยเปลี่ยนเป็น SSL แบบกำหนดเองที่ใช้ SNI เท่านั้น SSL แบบกำหนดเองที่ใช้ SNI เท่านั้นจะปฏิเสธการเชื่อมต่อ SSLv3 ทั้งหมด

15/10/2014 15:10 น. เวลาตามฤดูกาลของแปซิฟิก - อัปเดต -

เราได้ตรวจสอบบริการทั้งหมดของเราเกี่ยวกับปัญหา POODLE ที่ประกาศเมื่อเร็วๆ นี้ด้วย SSL (CVE-2014-3566) เพื่อเป็นการป้องกันความปลอดภัย เราขอแนะนำให้ลูกค้าของเราปิดการใช้งาน SSLv3 หากทำได้ ซึ่งรวมถึงการปิดใช้ SSLv3 ทั้งในการใช้กับเซิร์ฟเวอร์และไคลเอ็นต์

ตำแหน่งข้อมูล AWS API ไม่ได้รับผลกระทบจากการโจมตีที่อธิบายไว้ในเอกสารของ POODLE แทนที่จะใช้คุกกี้เพื่อตรวจสอบผู้ใช้ ลายเซ็นที่ไม่ซ้ำกันจะถได้รับการคำนวณสำหรับทุกคำขอ ลูกค้าไม่จำเป็นต้องดำเนินการใดๆ ที่ใช้ AWS SDK หรือ SDK อื่นๆ เพื่อเข้าถึงตำแหน่งข้อมูล API ของเรา

Amazon Linux AMI:
พื้นที่จัดเก็บ Amazon Linux AMI ขณะนี้รวมแพทช์สำหรับ POODLE (CVE-2014-3566) รวมถึงปัญหา OpenSSL (CVE-2014-3513, CVE-2014-3568, CVE-2014-3567) ที่เปิดตัวเมื่อวันที่ 15-10-2014 โปรดดูรายละเอียดเพิ่มเติมที่ https://alas.aws.amazon.com/ALAS-2014-426.html และ https://alas.aws.amazon.com/ALAS-2014-427.html

Amazon Elastic Load Balancing:
โหลดบาลานเซอร์ทั้งหมดที่สร้างหลังจากวันที่ 14/10/2014 17.00 น. เวลาตามฤดูกาลของแปซิฟิกจะใช้นโยบายเจรจา SSL ใหม่ซึ่งจะไม่เปิดใช้ SSLv3 เป็นค่าเริ่มต้นอีกต่อไป
ลูกค้าที่ต้องการใช้ SSLv3 สามารถเปิดใช้อีกครั้งได้ด้วยการเลือกนโยบายการเจรจา SSL 2014-01 หรือกำหนดค่ารหัส SSL และโปรโตคอลที่โหลดบาลานเซอร์ใช้ด้วยตัวเอง สำหรับโหลดบาลานเซอร์ที่มีอยู่ โปรดทำตามขั้นตอนด้านนล่างเพื่อปิดใช้ SSLv3 ผ่านทางการจัดการ ELB
Console:
    1. เลือกโหลดบาลานเซอร์ (EC2 > โหลดบาลานเซอร์)
    2. ในแท็บกระบวนการรอรับ ให้คลิก “เปลี่ยน” ในคอลัมน์รหัส
    3. ตรวจสอบว่าเลือกปุ่มวิทยุสำหรับ “นโยบายความปลอดภัยที่กำหนดไว้ล่วงหน้า” แล้ว
    4. ในรายการแบบเลื่อนลง ให้เลือกนโยบาย “ELBSecurityPolicy-2014-10”
    5. คลิก “บันทึก” เพื่อใช้การตั้งค่ากับกระบวนการรอรับ
    6. ทำซ้ำขั้นตอนเหล่านี้สำหรับกระบวนการรอรับแต่ละรายการที่ใช้ HTTPS หรือ SSL สำหรับแต่ละโหลดบาลานเซอร์

สำหรับข้อมูลเพิ่มเติม โปรดดูที่ http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html

Amazon CloudFront:
ลูกค้าที่ใช้ใบรับรอง SSL แบบกำหนดเองกับ Amazon CloudFront สามารถปิดใช้ SSLv3 ได้ด้วยการทำตามขั้นตอนด้านล่างใน CloudFront Management Console:
    1. เลือกการแจกจ่าย คลิก “การตั้งค่าการเผยแพร่”
    2. คลิกปุ่ม “แก้ไข” ในแท็บ “ทั่วไป”
    3. ในส่วน “Custom SSL Client Support” ให้เลือกตัวเลือกที่ระบุว่า “เฉพาะไคลเอ็นต์ที่รองรับ Server Name Indication (SNI)”
    4. คลิก “ใช่ แก้ไขเลย” เพื่อบันทึกการตั้งค่าที่มีการเปลี่ยนแปลง

สำหรับข้อมูลเพิ่มเติม โปรดดูที่ http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni

-----------------------------------------------------------------

14/10/2014 19.05 น. เวลาตามฤดูกาลของแปซิฟิก - อัปเดต -

เรากำลังตรวจสอบบริการทั้งหมดของเราเกี่ยวกับปัญหา POODLE ที่ประกาศเมื่อเร็วๆ นี้ด้วย SSL (CVE-2014-3566) เพื่อเป็นการป้องกันความปลอดภัย เราขอแนะนำให้ลูกค้าของเราปิดการใช้งาน SSLv3 หากทำได้ ซึ่งรวมถึงการปิดใช้ SSLv3 ทั้งในการใช้กับเซิร์ฟเวอร์และไคลเอ็นต์

ตำแหน่งข้อมูล AWP API ไม่ได้รับผลกระทบใดๆ และลูกค้าไม่จำเป็นต้องดำเนินการใดๆ ที่ใช้ AWS SDK หรือ SDK อื่นๆ เพื่อเข้าถึงตำแหน่งข้อมูล API ของเรา

เรากำลังตรวจสอบช่องโหว่ของเว็บไซต์ที่ AWS เป็นเจ้าของ และจะอัปเดตกระดานข่าวนี้

Amazon Linux AMI:

เรากำลังประเมินปัญหา และเมื่อมีแพทช์ เราจะนำจัดไว้ให้ในพื้นที่จัดเก็บ รวมถึงแจ้งในกระดานข่าวการรักษาความปลอดภัยที่ https://alas.aws.amazon.com/

ลูกค้าที่ต้องการใช้ SSLv3 สามารถเปิดใช้อีกครั้งได้ด้วยการเลือกนโยบายการเจรจา SSL 2014-01 หรือกำหนดค่ารหัส SSL และโปรโตคอลที่โหลดบาลานเซอร์ใช้ด้วยตัวเอง สำหรับโหลดบาลานเซอร์ที่มีอยู่ โปรดทำตามขั้นตอนด้านนล่างเพื่อปิดใช้ SSLv3 ผ่านทางการจัดการ ELB
Console:
    1. เลือกโหลดบาลานเซอร์ (EC2 > โหลดบาลานเซอร์)
    2. ในแท็บกระบวนการรอรับ ให้คลิก “เปลี่ยน” ในคอลัมน์รหัส
    3. ตรวจสอบว่าเลือกปุ่มวิทยุสำหรับ “นโยบายความปลอดภัยที่กำหนดไว้ล่วงหน้า” แล้ว
    4. ในรายการแบบเลื่อนลง ให้เลือกนโยบาย “ELBSecurityPolicy-2014-10”
    5. คลิก “บันทึก” เพื่อใช้การตั้งค่ากับกระบวนการรอรับ
    6. ทำซ้ำขั้นตอนเหล่านี้สำหรับกระบวนการรอรับแต่ละรายการที่ใช้ HTTPS หรือ SSL สำหรับแต่ละโหลดบาลานเซอร์

สำหรับข้อมูลเพิ่มเติม โปรดดูที่ http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html

-----------------------------------------------------------------

14/10/2014 17:00 น. เวลาตามฤดูกาลของแปซิฟิก - อัปเดต -

เรากำลังตรวจสอบช่องโหว่ของเว็บไซต์ที่ AWS เป็นเจ้าของ และจะอัปเดตกระดานข่าวนี้ก่อนเวลา 19.00 น. ตามเวลาแปซิฟิกในวันที่ 14 ตุลาคม 2014

สำหรับข้อมูลเพิ่มเติม โปรดดูที่ http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html

-----------------------------------------------------------------

14/10/2014 15:30 น. เวลาตามฤดูกาลของแปซิฟิก

เรากำลังตรวจสอบบริการทั้งหมดของเราเกี่ยวกับปัญหา POODLE ที่ประกาศเมื่อเร็วๆ นี้ด้วย SSL (CVE-2014-3566) เราจะอัปเดตกระดานข่าวก่อนเวลา 17.00 น.ตามเวลาแปซิฟิกในวันที่ 14 ตุลาคม 2014

จากคำแนะนำในการรักษาความปลอดภัย เราขอแนะนำให้ลูกค้าของเราปิดการใช้งาน SSLv3 หากทำได้ ซึ่งรวมถึงการปิดใช้ SSLv3 ทั้งในการใช้กับเซิร์ฟเวอร์และไคลเอ็นต์

ลูกค้าของ Elastic Load Balancing สามารถปิดใช้ SSLv3 สำหรับ ELB ได้ด้วยการทำตามขั้นตอนด้านล่างเพื่อปิดใช้ SSLv3 ผ่านทาง ELB Management Console:
    1. เลือกโหลดบาลานเซอร์ (EC2 > โหลดบาลานเซอร์)
    2. ในแท็บกระบวนการรอรับ ให้คลิก “เปลี่ยน” ในคอลัมน์รหัส
    3. ตรวจสอบว่าเลือกปุ่มวิทยุสำหรับ “นโยบายความปลอดภัยแบบกำหนดเอง” แล้ว
    4. ในส่วน “SSL Protocols” ให้ยกเลิกการเลือก “Protocol-SSLv3”
    5. คลิก “บันทึก” เพื่อใช้การตั้งค่ากับกระบวนการรอรับ
    6. ทำซ้ำขั้นตอนเหล่านี้สำหรับกระบวนการรอรับแต่ละรายการที่ใช้ HTTPS หรือ SSL สำหรับแต่ละโหลดบาลานเซอร์

สำหรับข้อมูลเพิ่มเติม โปรดดูที่ http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html

การให้คำปรึกษาของ CVE-2014-3566

สิ้นสุดการรองรับ Internet Explorer