2014/9/25 – 太平洋夏令时凌晨 4:00 – 更新 –
我们检查了 CVE-2014-6271 和 CVE-2014-7169 并确定我们的 API 和后端不受影响,并且除下文列出的外,我们的服务也不受影响。
这两个 CVE 会影响在 Linux 主机上广泛部署和使用的标准 bash 登录外壳。我们建议客户检查其所有 Linux 主机,确认这些主机已经安装了最新版本的 bash 外壳。
如果您使用的是 Amazon Linux,在 2014 年 9 月 14 日太平洋夏令时 12:30 以后启动的默认 Amazon Linux AMI 实例将会自动安装这些更新。有关更新 Amazon Linux 的更多信息,请参阅此处 https://alas.aws.amazon.com/ALAS-2014-419.html
如果您使用下列任何服务,请遵循适用于您所使用的各项服务的说明操作,以确保您的软件保持更新。
Amazon Elastic MapReduce (EMR) – https://forums.aws.amazon.com/ann.jspa?annID=2630
AWS Elastic Beanstalk – https://forums.aws.amazon.com/ann.jspa?annID=2629
AWS OpsWorks 和 AWS CloudFormation 客户应按照以下说明更新其实例软件:
Amazon Linux AMI – https://alas.aws.amazon.com/ALAS-2014-419.html
Ubuntu Server:http://www.ubuntu.com/usn/usn-2363-2/
Red Hat Enterprise Linux:https://access.redhat.com/security/cve/CVE-2014-7169
SuSE Linux Enterprise Server:http://support.novell.com/security/cve/CVE-2014-7169.html
2014/9/24 – 太平洋夏令时凌晨 4:00 – 更新 –
对于 CVE-2014-6271,客户需要执行下列操作:
Amazon Linux AMI – CVE-2014-6271 的修补程序已推送到 Amazon Linux AMI 存储库中,其严重性评级为“严重”。
有关此问题的安全公告详见此处 – https://alas.aws.amazon.com/ALAS-2014-418.html
默认情况下,新启动的 Amazon Linux AMI 将会自动安装此安全更新。
对于现有的 Amazon Linux AMI 实例,您需要运行如下命令:
sudo yum update bash
上述命令将会安装更新。根据您的配置,您可能需要运行以下命令:
sudo yum clean all
有关更多信息,请参阅 https://aws.amazon.com/amazon-linux-ami/faqs/#auto_update
我们将继续提供此安全公告中的更新。
2014/9/24 太平洋夏令时上午 9:00
我们了解到 CVE 2014-6271 已在 9 月 24 日太平洋夏令时上午 7 点公开发布。目前我们正在检查 AWS 的环境,并将尽快通报有关此公告的更多详细信息。