01/03/2016 - 10:30 น. PDT
เราได้ตรวจสอบปัญหาที่อธิบายไว้ใน CVE-2016-0800 หรือที่เรียกว่า “DROWN” แล้ว และพบว่าบริการของ AWS ไม่ได้รับผลกระทบใดๆ ลูกค้า Amazon Elastic Load Balancer ที่เปลี่ยนการกำหนดค่าเริ่มต้นของ ELB ให้รับรอง SSLv2 ควรทำตามขั้นตอนดังต่อไปนี้ทันทีเพื่อปิดการใช้งาน SSLv2 จากระบบปฏิบัติการของตน
คุณสามารถทำตามขั้นตอนต่อไปนี้เพื่อเปิดการใช้งานนโยบายความปลอดภัยที่กำหนดไว้ล่วงหน้าดังที่ AWS แนะนำผ่านคอนโซล AWS ได้
1. เลือกโหลดบาลานเซอร์ (EC2 > โหลดบาลานเซอร์)
2. ในแท็บกระบวนการรอรับ ให้คลิก "เปลี่ยน" ในคอลัมน์รหัส
3. ตรวจสอบว่าเลือกปุ่ม "นโยบายความปลอดภัยที่กำหนดไว้ล่วงหน้า" แล้ว
4. ในรายการดร็อปดาวน์ ให้เลือกนโยบาย "ELBSecurityPolicy-2015-05"
5. คลิก "บันทึก" เพื่อใช้การตั้งค่ากับกระบวนการรอรับ
6. ทำขั้นตอนเหล่านี้ซ้ำสำหรับกระบวนการรอรับแต่ละรายการที่ใช้ HTTPS หรือ SSL สำหรับแต่ละโหลดบาลานเซอร์
สำหรับข้อมูลเพิ่มเติม โปรดดู:
http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html