01/03/2016 - 10:30 น. PDT

 

เราได้ตรวจสอบปัญหาที่อธิบายไว้ใน CVE-2016-0800 หรือที่เรียกว่า “DROWN” แล้ว และพบว่าบริการของ AWS ไม่ได้รับผลกระทบใดๆ ลูกค้า Amazon Elastic Load Balancer ที่เปลี่ยนการกำหนดค่าเริ่มต้นของ ELB ให้รับรอง SSLv2 ควรทำตามขั้นตอนดังต่อไปนี้ทันทีเพื่อปิดการใช้งาน SSLv2 จากระบบปฏิบัติการของตน

 

คุณสามารถทำตามขั้นตอนต่อไปนี้เพื่อเปิดการใช้งานนโยบายความปลอดภัยที่กำหนดไว้ล่วงหน้าดังที่ AWS แนะนำผ่านคอนโซล AWS ได้

    1. เลือกโหลดบาลานเซอร์ (EC2 > โหลดบาลานเซอร์)

    2. ในแท็บกระบวนการรอรับ ให้คลิก "เปลี่ยน" ในคอลัมน์รหัส

    3. ตรวจสอบว่าเลือกปุ่ม "นโยบายความปลอดภัยที่กำหนดไว้ล่วงหน้า" แล้ว

    4. ในรายการดร็อปดาวน์ ให้เลือกนโยบาย "ELBSecurityPolicy-2015-05"

    5. คลิก "บันทึก" เพื่อใช้การตั้งค่ากับกระบวนการรอรับ

    6. ทำขั้นตอนเหล่านี้ซ้ำสำหรับกระบวนการรอรับแต่ละรายการที่ใช้ HTTPS หรือ SSL สำหรับแต่ละโหลดบาลานเซอร์

สำหรับข้อมูลเพิ่มเติม โปรดดู:

http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html