16/02/2016 – 15h30 PST (heure du Pacifique)
Nous avons examiné les problèmes décrits dans l'avis CVE-2015-7547 et nous avons déterminé que les services AWS n'étaient dans une large mesure pas affectés. La seule exception concerne les clients qui utilisent Amazon EC2 et ont modifié leurs configurations de manière à utiliser une infrastructure DNS non AWS. Ceux-ci doivent mettre à jour leurs environnement Linux immédiatement en suivant les indications de leur distribution Linux. Les clients EC2 qui utilisent l'infrastructure DNS AWS ne sont pas affectés et aucune action n'est requise de leur part.
Pour les clients Amazon EC2 qui utilisent Amazon Linux et ont modifié leur configuration de manière à utiliser une infrastructure DNS non AWS :
Un correctif au problème CVE-2015-7547 a été transmis aux référentiels AMI Amazon Linux, avec un degré de gravité « Critical ». Les instances démarrées avec la configuration Amazon Linux par défaut à compter du 16/02/2016 incluront automatiquement le correctif requis pour ce CVE.
Les clients disposant d’instances AMI Amazon Linux existantes doivent exécuter la commande suivante pour veiller à recevoir le correctif pour ce CVE :
sudo yum update glibc
En fonction de votre configuration, il peut être nécessaire d'exécuter également la commande suivante :
sudo yum clean all
Pour plus d'informations, consultez https://aws.amazon.com/amazon-linux-ami/faqs/#auto_update
Vous trouverez des informations supplémentaires sur la mise à jour des environnements Linux non Amazon sur les liens suivants :
Ubuntu Server : http://www.ubuntu.com/usn/
SUSE Linux Enterprise Server : https://www.suse.com/security/cve/CVE-2015-7547.html
RedHat : https://access.redhat.com/security/cve/CVE-2015-7547