25.9.2014 – 01:00 Uhr MEZ – Update
Wir haben CVE-2014-6271 und CVE-2014-7169 überprüft und festgestellt, dass unsere APIs und Backends nicht betroffen sind. Sofern nachstehend nicht anders angegeben, sind auch unsere Services nicht betroffen.
Diese beiden CVEs wirken sich auf die Standard-Bash-Anmeldeshell aus, die auf Linux-Hosts weitgehend bereitgestellt und verwendet wird. Wir empfehlen Kunden, alle Linux-Hosts zu überprüfen, um sicherzustellen, dass aktuelle Versionen der Bash-Shell installiert sind.
Wenn Sie Amazon Linux verwenden, sind diese Updates bei Instances des Standard-Amazon Linux-AMI, das nach dem 14.09.2014, 21: 30 Uhr MEZ, gestartet wurde, automatisch installiert. Weitere Informationen zum Aktualisieren von Amazon Linux finden Sie unter https://alas.aws.amazon.com/ALAS-2014-419.html
Wenn Sie einen der unten aufgeführten Dienste verwenden, befolgen Sie bitte die Anweisungen für jeden von Ihnen verwendeten Dienst, um sicherzustellen, dass Ihre Software auf dem neuesten Stand ist.
Amazon Elastic MapReduce (EMR) – https://forums.aws.amazon.com/ann.jspa?annID=2630
AWS Elastic Beanstalk – https://forums.aws.amazon.com/ann.jspa?annID=2629
Kunden von AWS OpsWorks und AWS CloudFormation sollten ihre Instance-Software gemäß den folgenden Anweisungen aktualisieren:
Amazon Linux AMI – https://alas.aws.amazon.com/ALAS-2014-419.html
Ubuntu Server: http://www.ubuntu.com/usn/usn-2363-2/
Red Hat Enterprise Linux: https://access.redhat.com/security/cve/CVE-2014-7169
SuSE Linux Enterprise Server: http://support.novell.com/security/cve/CVE-2014-7169.html
2014/9/24 4:00 PM PDT – Update –
Für CVE-2014-6271 sind in folgenden Fällen Maßnahmen unserer Kunden erforderlich:
Amazon Linux AMI – ein Fix für CVE-2014-6271 wurde mit dem Schweregrad "Kritisch" in die AMI-Repositorys von Amazon Linux verschoben.
Unser Sicherheitsbulletin für diese Ausgabe finden Sie hier: https://alas.aws.amazon.com/ALAS-2014-418.html.
Standardmäßig wird dieses Sicherheitsupdate bei neuen Starts von Amazon Linux AMI automatisch installiert.
Für vorhandene Amazon Linux AMI-Instances müssen Sie den folgenden Befehl ausführen:
sudo yum update bash
Mit dem obigen Befehl wird das Update installiert. Abhängig von Ihrer Konfiguration müssen Sie ggf. auch den folgenden Befehl ausführen:
sudo yum clean all
Weitere Informationen finden Sie unter https://aws.amazon.com/amazon-linux-ami/faqs/#auto_update.
Wir werden weiterhin Updates in diesem Sicherheitsbulletin bereitstellen.
24.9.2014 18:00 Uhr (MEZ)
Uns ist bekannt, dass CVE 2014-6271 am 24. September um 16:00 Uhr MEZ veröffentlicht wurde. Wir überprüfen zurzeit die AWS-Umgebungen und aktualisieren dieses Bulletin in Kürze mit weiteren Details.