Identifiant CVE : CVE-2021-3156
Il s'agit d'une mise à jour concernant ce problème.
AWS est conscient du problème de sécurité révélé récemment par la communauté open source affectant l’utilitaire « sudo » de Linux (CVE-2021-3156). Ce problème peut permettre à des utilisateurs ne disposant pas de privilèges d’exécuter des commandes privilégiées ou de faire planter les hôtes affectés.
Les versions mises à jour de sudo sont disponibles sur les référentiels de packages Amazon Linux et Amazon Linux 2. Les clients disposant d'instances EC2 existantes exécutant Amazon Linux doivent exécuter la commande suivante au sein de chaque instance EC2 exécutant Amazon Linux pour recevoir le package mis à jour :
sudo yum update sudo
Nous avons publié de nouvelles versions des AMI Amazon Linux et Amazon Linux 2 qui incluent automatiquement le noyau mis à jour. Les ID d'AMI pour les images avec les noyaux mis à jour peuvent être trouvés au niveau des ID AMI Amazon Linux 2018.03, ID AMI Amazon Linux 2 et dans le AWS Systems Manager Parameter Store.
Les clients qui n'utilisent pas Amazon Linux doivent contacter leur fournisseur de système d'exploitation pour les mises à jour ou instructions nécessaires à l'atténuation d'éventuels soucis causés par ces problèmes. Plus d'informations sont disponibles dans le centre de sécurité Amazon Linux.
AL1 : https://alas.aws.amazon.com/ALAS-2021-1478.html
AL2 : https://alas.aws.amazon.com/AL2/ALAS-2021-1590.html
Identifiant CVE : CVE-2021-3156
Ceci est une version antérieure de ce bulletin de sécurité.
AWS est conscient du problème de sécurité révélé récemment par la communauté open source affectant l’utilitaire « sudo » de Linux (CVE-2021-3156). Ce problème peut permettre à des utilisateurs ne disposant pas de privilèges d’exécuter des commandes privilégiées. Les mainteneurs de sudo ont publié davantage d’informations à ce sujet à l’adresse https://www.sudo.ws/alerts/unescape_overflow.html.
L’infrastructure et les services AWS ne sont pas affectés par ce problème. Comme bonne pratique générale en matière de sécurité, nous recommandons aux clients d’Amazon EC2 exécutant Amazon Linux de mettre à jour leur système d’exploitation pour installer la dernière version de sudo.
Les versions mises à jour de sudo sont disponibles sur les référentiels de packages Amazon Linux et Amazon Linux 2. Les clients disposant d'instances EC2 existantes exécutant Amazon Linux doivent exécuter la commande suivante au sein de chaque instance EC2 exécutant Amazon Linux pour recevoir le package mis à jour :
sudo yum update sudo
Les clients qui n'utilisent pas Amazon Linux doivent contacter leur fournisseur de système d'exploitation pour les mises à jour ou instructions nécessaires à l'atténuation d'éventuels soucis causés par ces problèmes. Plus d'informations sont disponibles dans le centre de sécurité Amazon Linux.
AL1 : https://alas.aws.amazon.com/ALAS-2021-1478.html
AL2 : https://alas.aws.amazon.com/AL2/ALAS-2021-1590.html