Thông tin CVE-2014-3566

07/01/2015 8:30 SA PST - Cập nhật-

Amazon CloudFront:

Chúng tôi đã vô hiệu hóa SSLv3 cho tất cả các khách hàng sử dụng SSL với tên miền CloudFront mặc định (*.cloudfront.net).

 

----------------------------------------------------------------------------------------

 

24/10/2014 - 7:30 CH PDT - Cập nhật

Amazon CloudFront:

Hôm nay, chúng tôi đã ra mắt tính năng cho phép khách hàng vô hiệu hóa hoặc kích hoạt SSLv3 cho Chứng chỉ SSL tùy chỉnh IP chuyên dụng. Các bản phân phối hiện có được tạo trước khi ra mắt tính năng này sẽ tiếp tục cho phép SSLv3 theo mặc định; những khách hàng muốn vô hiệu hóa SSLv3 trên các bản phân phối hiện có sử dụng SSL tùy chỉnh IP chuyên dụng có thể thực hiện điều đó bằng cách sử dụng CloudFront API hoặc Bảng điều khiển quản lý AWS. Chúng tôi khuyên khách hàng nên vô hiệu hóa SSLv3 nếu trường hợp sử dụng của họ cho phép. Bạn có thể đọc thêm về cách làm điều này trong tài liệu của chúng tôi.

Xin nhắc lại, vào ngày 3 tháng 11 năm 2014, chúng tôi sẽ bắt đầu vô hiệu hóa SSLv3 cho TẤT CẢ khách hàng sử dụng SSL với tên miền CloudFront mặc định (*.cloudfront.net).

 

----------------------------------------------------------------------------------------

 

17/10/2014 5:00 CH PDT - Cập nhật -

 

Amazon CloudFront:

Chúng tôi muốn cung cấp ba bản cập nhật liên quan đến các kế hoạch hỗ trợ SSLv3 của chúng tôi trong Amazon CloudFront.

1. Tuần tới, chúng tôi sẽ thêm khả năng cho những khách hàng sử dụng Chứng chỉ SSL tùy chỉnh IP chuyên dụng để chọn xem các kết nối SSLv3 có được chấp nhận hay không
   
   • Khách hàng có thể vô hiệu hóa hoặc kích hoạt SSLv3 cho Chứng chỉ SSL tùy chỉnh IP chuyên dụng thông qua các tham số cấu hình trong API của Amazon CloudFront và Bảng điều khiển quản lý AWS.
   
   • Các bản phân phối hiện có được tạo trước khi ra mắt tính năng này sẽ tiếp tục cho phép SSLv3 theo mặc định; những khách hàng muốn vô hiệu hóa SSLv3 trên các bản phân phối hiện có sử dụng SSL tùy chỉnh IP chuyên dụng có thể thực hiện điều đó bằng cách sử dụng API của CloudFront hoặc Bảng điều khiển quản lý AWS.
   
2. Tuần tới, chúng tôi cũng sẽ hoàn thành việc triển khai TLS_FALLBACK_SCSV cho tất cả các máy chủ ở các vị trí biên CloudFront của chúng tôi. Với bản cập nhật này, các máy khách cũng hỗ trợ TLS_FALLBACK_SCSV không thể hạ cấp kết nối của họ xuống SSLv3 ở bên ngoài.
   
3. Bắt đầu từ ngày 3 tháng 11 năm 2014, chúng tôi sẽ bắt đầu vô hiệu hóa SSLv3 cho TẤT CẢ khách hàng sử dụng SSL bằng cách sử dụng CloudFront mặc định (*.cloudfront.net)
   
   • Sau thời điểm này, chính sách của Amazon CloudFront sẽ chỉ cho phép SSLv3 trên chứng chỉ SSL tùy chỉnh IP chuyên dụng
   
   
   

Như đã nêu trong bản cập nhật trước đây của chúng tôi, khách hàng sử dụng Chứng chỉ SSL tùy chỉnh IP chuyên dụng có thể ngay lập tức không cho phép SSLv3 bằng cách chuyển sang SSL tùy chỉnh chỉ SNI. Phân phối SSL tùy chỉnh chỉ SNI từ chối tất cả các kết nối SSLv3.

 

15/10/2014 3:10 CH PDT - Cập nhật -

Chúng tôi đã xem xét tất cả các dịch vụ của mình liên quan đến vấn đề POODLE được công bố gần đây với SSL (CVE-2014-3566). Để phòng ngừa sự cố bảo mật, chúng tôi khuyên khách hàng của mình nên vô hiệu hóa SSLv3 khi họ có thể làm như vậy. Điều này bao gồm vô hiệu hóa SSLv3 trên cả máy chủ và máy khách.

Điểm cuối API của AWS không bị ảnh hưởng bởi cuộc tấn công được mô tả trong báo cáo POODLE. Thay vì sử dụng cookie để xác thực người dùng, một chữ ký duy nhất được tính cho mọi yêu cầu. Không có hành động nào được yêu cầu từ các khách hàng sử dụng SDK của AWS hoặc các SDK khác để truy cập các điểm cuối API của chúng tôi.


Amazon Linux AMI:
Các kho lưu trữ AMI của Amazon Linux hiện bao gồm các bản vá cho POODLE (CVE-2014-3566) cũng như các vấn đề OpenSSL bổ sung (CVE-2014-3513, CVE-2014-3568, CVE-2014-3567) đã được phát hành vào ngày 15 tháng 10 năm 2014. Xin vui lòng xem https://alas.aws.amazon.com/ALAS-2014-426.html và https://alas.aws.amazon.com/ALAS-2014-427.html để biết thêm thông tin chi tiết.

 

Amazon Elastic Load Balancing:
Tất cả các bộ cân bằng tải được tạo sau ngày 14 tháng 10 năm 2014 5:00 CH PDT sẽ sử dụng Chính sách đàm phán SSL mới theo mặc định sẽ không còn bật SSLv3 nữa.
Khách hàng yêu cầu SSLv3 có thể kích hoạt nó bằng cách chọn Chính sách đàm phán SSL 2014-01 hoặc cấu hình thủ công các mật mã và giao thức SSL được sử dụng bởi bộ cân bằng tải. Đối với các bộ cân bằng tải hiện có, vui lòng làm theo các bước dưới đây để tắt SSLv3 thông qua Quản lý ELB
Bảng điều khiển:
    1. Chọn cân bằng tải của bạn (EC2 > Cân bằng tải).
    2. Trong tab Listener, nhấp vào "Thay đổi" trong cột Mã hóa.
    3. Đảm bảo đã chọn nút chọn một tương ứng với "Chính sách bảo mật định trước"
    4. Trong danh sách thả xuống, chọn chính sách "ELBSecurityPolicy-2014-10".
    5. Nhấp vào "Lưu" để áp dụng cài đặt cho listener.
    6. Lặp lại các bước này với mọi listener đang sử dụng HTTPS hoặc SSL cho mỗi cân bằng tải.

Để biết thêm thông tin, vui lòng xem http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.

 

Amazon CloudFront:
Khách hàng đang sử dụng chứng chỉ SSL tùy chỉnh với Amazon CloudFront có thể vô hiệu hóa SSLv3 bằng cách thực hiện theo các bước bên dưới trong Bảng điều khiển quản lý CloudFront:
    1. Chọn phân phối của bạn, nhấp vào "Cài đặt phân phối."
    2. Nhấp vào nút "Chỉnh sửa" trên tab "Chung".
    3. Trong phần "Hỗ trợ khách hàng SSL tùy chỉnh", chọn tùy chọn có nội dung: "Chỉ những khách hàng hỗ trợ chỉ định tên máy chủ (SNI)"
    4. Nhấp vào "Có, Chỉnh sửa" để lưu các cài đặt đã sửa đổi này.

Để biết thêm thông tin, vui lòng xem http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni

 

-----------------------------------------------------------------

14/10/2014 7:05 CH PDT - Cập nhật -

Chúng tôi đang xem xét tất cả các dịch vụ của mình liên quan đến vấn đề POODLE được công bố gần đây với SSL (CVE-2014-3566). Để phòng ngừa sự cố bảo mật, chúng tôi khuyên khách hàng của mình nên vô hiệu hóa SSLv3 khi họ có thể làm như vậy. Điều này bao gồm vô hiệu hóa SSLv3 trên cả máy chủ và máy khách.

Điểm cuối API AWS không bị ảnh hưởng bởi vấn đề này và không có hành động nào được yêu cầu từ khách hàng sử dụng SDK của AWS hoặc SDK khác để truy cập điểm cuối API của chúng tôi.

Chúng tôi đang kiểm tra tất cả các trang web thuộc sở hữu của AWS để xem thông tin và chúng tôi sẽ cập nhật bản tin này.

 

Amazon Linux AMI:

Chúng tôi đang đánh giá vấn đề và khi có bản vá, chúng tôi sẽ đặt chúng vào kho lưu trữ của chúng tôi và đưa ra một bản tin bảo mật tại https://alas.aws.amazon.com/

Amazon Elastic Load Balancing:
Tất cả các bộ cân bằng tải được tạo sau ngày 14 tháng 10 năm 2014 5:00 CH PDT sẽ sử dụng Chính sách đàm phán SSL mới theo mặc định sẽ không còn bật SSLv3 nữa.

Khách hàng yêu cầu SSLv3 có thể kích hoạt nó bằng cách chọn Chính sách đàm phán SSL 2014-01 hoặc cấu hình thủ công các mật mã và giao thức SSL được sử dụng bởi bộ cân bằng tải. Đối với các bộ cân bằng tải hiện có, vui lòng làm theo các bước dưới đây để tắt SSLv3 thông qua Quản lý ELB
Bảng điều khiển:
    1. Chọn cân bằng tải của bạn (EC2 > Cân bằng tải).
    2. Trong tab Listener, nhấp vào "Thay đổi" trong cột Mã hóa.
    3. Đảm bảo đã chọn nút chọn một tương ứng với "Chính sách bảo mật định trước"
    4. Trong danh sách thả xuống, chọn chính sách "ELBSecurityPolicy-2014-10".
    5. Nhấp vào "Lưu" để áp dụng cài đặt cho listener.
    6. Lặp lại các bước này với mọi listener đang sử dụng HTTPS hoặc SSL cho mỗi cân bằng tải.

Để biết thêm thông tin, vui lòng xem http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.

Amazon CloudFront:
Khách hàng đang sử dụng chứng chỉ SSL tùy chỉnh với Amazon CloudFront có thể vô hiệu hóa SSLv3 bằng cách thực hiện theo các bước bên dưới trong Bảng điều khiển quản lý CloudFront:
    1. Chọn phân phối của bạn, nhấp vào "Cài đặt phân phối."
    2. Nhấp vào nút "Chỉnh sửa" trên tab "Chung".
    3. Trong phần "Hỗ trợ khách hàng SSL tùy chỉnh", chọn tùy chọn có nội dung: "Chỉ những khách hàng hỗ trợ chỉ định tên máy chủ (SNI)"
    4. Nhấp vào "Có, Chỉnh sửa" để lưu các cài đặt đã sửa đổi này.

Để biết thêm thông tin, vui lòng xem http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni

 

-----------------------------------------------------------------

14/10/2014 5:00 CH PDT - Cập nhật -

Chúng tôi đang xem xét tất cả các dịch vụ của mình liên quan đến vấn đề POODLE được công bố gần đây với SSL (CVE-2014-3566). Để phòng ngừa sự cố bảo mật, chúng tôi khuyên khách hàng của mình nên vô hiệu hóa SSLv3 khi họ có thể làm như vậy. Điều này bao gồm vô hiệu hóa SSLv3 trên cả máy chủ và máy khách.

Điểm cuối API AWS không bị ảnh hưởng bởi vấn đề này và không có hành động nào được yêu cầu từ khách hàng sử dụng SDK của AWS hoặc SDK khác để truy cập điểm cuối API của chúng tôi.

Chúng tôi đang kiểm tra tất cả các trang web thuộc sở hữu của AWS để xem thông tin và chúng tôi sẽ cập nhật bản tin này trước 7:00 CH giờ Thái Bình Dương vào ngày 14 tháng 10 năm 2014..

 

Amazon Elastic Load Balancing:
Tất cả các bộ cân bằng tải được tạo sau ngày 14 tháng 10 năm 2014 5:00 CH PDT sẽ sử dụng Chính sách đàm phán SSL mới theo mặc định sẽ không còn bật SSLv3 nữa.

Khách hàng yêu cầu SSLv3 có thể kích hoạt nó bằng cách chọn Chính sách đàm phán SSL 2014-01 hoặc cấu hình thủ công các mật mã và giao thức SSL được sử dụng bởi bộ cân bằng tải. Đối với các bộ cân bằng tải hiện có, vui lòng làm theo các bước dưới đây để tắt SSLv3 thông qua Quản lý ELB
Bảng điều khiển:
    1. Chọn cân bằng tải của bạn (EC2 > Cân bằng tải).
    2. Trong tab Listener, nhấp vào "Thay đổi" trong cột Mã hóa.
    3. Đảm bảo đã chọn nút chọn một tương ứng với "Chính sách bảo mật định trước"
    4. Trong danh sách thả xuống, chọn chính sách "ELBSecurityPolicy-2014-10".
    5. Nhấp vào "Lưu" để áp dụng cài đặt cho listener.
    6. Lặp lại các bước này với mọi listener đang sử dụng HTTPS hoặc SSL cho mỗi cân bằng tải.

Để biết thêm thông tin, vui lòng xem http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html.

 

Amazon CloudFront:
Khách hàng đang sử dụng chứng chỉ SSL tùy chỉnh với Amazon CloudFront có thể vô hiệu hóa SSLv3 bằng cách thực hiện theo các bước bên dưới trong Bảng điều khiển quản lý CloudFront:
    1. Chọn phân phối của bạn, nhấp vào "Cài đặt phân phối."
    2. Nhấp vào nút "Chỉnh sửa" trên tab "Chung".
    3. Trong phần "Hỗ trợ khách hàng SSL tùy chỉnh", chọn tùy chọn có nội dung: "Chỉ khách hàng hỗ trợ chỉ định tên máy chủ (SNI)"
    4. Nhấp vào "Có, Chỉnh sửa" để lưu các cài đặt đã sửa đổi này.

Để biết thêm thông tin, vui lòng xem http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#cnames-https-dedicated-ip-or-sni

 

 

-----------------------------------------------------------------

14/10/2014 3:30 CH PDT

Chúng tôi đang xem xét tất cả các dịch vụ của mình liên quan đến vấn đề POODLE được công bố gần đây với SSL (CVE-2014-3566). Chúng tôi sẽ cập nhật bản tin này trước 5 giờ chiều giờ Thái Bình Dương ngày 14 tháng 10 năm 2014

Như một đề xuất bảo mật, chúng tôi khuyên khách hàng của mình nên vô hiệu hóa SSLv3 khi họ có thể làm như vậy. Điều này bao gồm vô hiệu hóa SSLv3 trên cả máy chủ và máy khách.

Khách hàng Elastic Load Balancing có thể vô hiệu hóa SSLv3 cho ELB của họ bằng cách thực hiện theo các bước bên dưới để tắt SSLv3 qua Bảng điều khiển quản lý ELB:
    1. Chọn cân bằng tải của bạn (EC2 > Cân bằng tải).
    2. Trong tab Listener, nhấp vào "Thay đổi" trong cột Mã hóa.
    3. Đảm bảo rằng nút radio cho Chính sách bảo mật tùy chỉnh của người dùng được chọn.
    4. Trong phần “Giao thức SSL”, hãy bỏ chọn phần “Protocol-SSLv3”.
    5. Nhấp vào "Lưu" để áp dụng cài đặt cho listener.
    6. Lặp lại các bước này với mọi listener đang sử dụng HTTPS hoặc SSL cho mỗi cân bằng tải.

Để biết thêm thông tin, vui lòng xem http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html