25/09/2014 16h00 PDT (heure du Pacifique) – Mise à jour –
Nous avons examiné CVE-2014-6271 et CVE-2014-7169 et nous avons déterminé que nos API et nos backends n'étaient pas affectés, tout comme nos services, excepté dans le cas de la mention ci-dessous.
Ces deux CVE affectent le shell de connexion Bash, qui est largement déployé et utilisé sur des hôtes Linux. Nous conseillons aux clients de vérifier tous leurs hôtes Linux afin de vérifier s'ils disposent de versions à jour du shell Bash.
Si vous utilisez Amazon Linux, les instances de l'AMI Amazon Linux lancées après le 14 septembre 20144 à 12h30 PDT (heure du Pacifique) auront automatiquement installé ces mises à jour. Pour plus d'informations sur la mise à jour d'Amazon Linux, consultez le lien https://alas.aws.amazon.com/ALAS-2014-419.html.
Si vous utilisez l'un des services répertoriés ci-dessous, veuillez suivre les instructions relatives à chaque service afin de vous assurer que votre logiciel est à jour.
Amazon Elastic MapReduce (EMR) – https://forums.aws.amazon.com/ann.jspa?annID=2630
AWS Elastic Beanstalk – https://forums.aws.amazon.com/ann.jspa?annID=2629
Les clients AWS OpsWorks et AWS CloudFormation doivent mettre à jour le logiciel de leur instance conformément à ces instructions :
AMI Amazon Linux - https://alas.aws.amazon.com/ALAS-2014-419.html
Ubuntu Server : http://www.ubuntu.com/usn/usn-2363-2/
Red Hat Enterprise Linux : https://access.redhat.com/security/cve/CVE-2014-7169
SuSE Linux Enterprise Server : http://support.novell.com/security/cve/CVE-2014-7169.html
24/09/2014 16h00 PDT (heure du Pacifique) – Mise à jour –
Pour CVE-2014-6271, les éléments ci-dessous nécessitent que nos clients prennent une mesure :
AMI Amazon Linux – Un correctif au problème CVE-2014-6271 a été transmis aux référentiels AMI Amazon Linux, avec un degré de gravité « Critical ».
Notre bulletin de sécurité relatif à ce problème est disponible à l'adresse https://alas.aws.amazon.com/ALAS-2014-418.html.
Par défaut, des lancements de nouvelles AMI Amazon Linux vont automatiquement installer cette mise à jour de sécurité.
Dans le cas d'AMI Amazon Linux existantes, vous devrez exécuter la commande suivante :
sudo yum update bash
La commande ci-dessus va installer la mise à jour. En fonction de votre configuration, il peut être nécessaire d'exécuter la commande suivante :
sudo yum clean all
Pour plus d'informations, consultez https://aws.amazon.com/amazon-linux-ami/faqs/#auto_update.
Nous allons continuer de fournir des informations dans ce bulletin de sécurité.
24/09/2014 9h00 PDT (heure du Pacifique)
Nous sommes conscients du CVE 2014-6271 rendu public le 24 septembre à 7h00 PDT (heure du Pacifique). Nous examinons actuellement les environnements AWS et nous allons prochainement mettre à jour ce bulletin en y ajoutant des informations supplémentaires.