25/09/2014 16:00 PDT - Atualização -
Revisamos a CVE-2014-6271 e a CVE-2014-7169 e determinamos que nossas APIs e back-ends não são afetados e, exceto conforme indicado abaixo, nossos serviços não são afetados.
Essas duas CVEs afetam o shell de login bash padrão, que é amplamente implementado e usado em hosts Linux. Recomendamos que os clientes verifiquem todos os hosts Linux para verificar se possuem versões atualizadas do shell bash instaladas.
Se você estiver usando o Amazon Linux, as instâncias da AMI padrão do Amazon Linux lançadas após 14/09/2014 @12:30 PDT terão instalado automaticamente essas atualizações. Para obter mais informações sobre a atualização do Amazon Linux, acesse aqui https://alas.aws.amazon.com/ALAS-2014-419.html
Se você usar um dos serviços listados abaixo, siga as instruções para cada serviço usado para garantir que seu software esteja atualizado.
Amazon Elastic MapReduce (EMR) – https://forums.aws.amazon.com/ann.jspa?annID=2630
AWS Elastic Beanstalk – https://forums.aws.amazon.com/ann.jspa?annID=2629
Os clientes do AWS OpsWorks e do AWS CloudFormation devem atualizar seus softwares de instância de acordo com essas instruções:
AMI do Amazon Linux - https://alas.aws.amazon.com/ALAS-2014-419.html
Ubuntu Server: http://www.ubuntu.com/usn/usn-2363-2/
Red Hat Enterprise Linux: https://access.redhat.com/security/cve/CVE-2014-7169
SuSE Linux Enterprise Server: http://support.novell.com/security/cve/CVE-2014-7169.html
24/09/2014 16:00 PDT - Atualização -
Para a CVE-2014-6271, o seguinte requer ação por parte dos nossos clientes:
AMI do Amazon Linux – Uma correção para a CVE-2014-6271 foi enviada aos repositórios de AMIs do Amazon Linux, com uma classificação de gravidade de Crítica.
Nosso boletim de segurança para esse problema está aqui -- https://alas.aws.amazon.com/ALAS-2014-418.html
Por padrão, novas execuções da AMI do Amazon Linux instalarão esta atualização de segurança automaticamente.
Para instâncias existentes da AMI do Amazon Linux, você precisará executar o comando:
sudo yum update bash
O comando acima instalará a atualização. Dependendo da sua configuração, pode ser necessário executar o seguinte comando:
sudo yum clean all
Para mais informações, consulte https://aws.amazon.com/amazon-linux-ami/faqs/#auto_update
Continuaremos a fornecer atualizações neste boletim de segurança.
24/09/2014 9:00 PDT
Estamos cientes da CVE 2014-6271 publicada em 24 de setembro às 7:00 PDT. No momento, estamos analisando os ambientes da AWS e atualizaremos este boletim com mais detalhes em breve.