2014/9/25 4:00 PM PDT - Aggiornamento -
Abbiamo esaminato gli avvisi con identificatori CVE-2014-6271 e CVE-2014-7169 e abbiamo constatato che le nostre API e i nostri backend non sono interessati, così come non lo sono i nostri servizi, tranne nei casi riportati d seguito.
Questi due CVE hanno effetto sulla shell di accesso bash standard, la quale è ampiamente distribuita e utilizzata sugli host Linux. Consigliamo ai clienti di controllare tutti gli host Linux per verificare che vi siano installate versioni della shell bash aggiornata.
Se utilizzi Amazon Linux, nelle istanze delle AMI predefinite di Amazon Linux avviate dopo 2014/9/14 @12:30 PDT questi aggiornamenti saranno stati installati automaticamente. Per ulteriori informazioni sull'aggiornamento di Amazon Linux, accedi alla pagina https://alas.aws.amazon.com/ALAS-2014-419.html
Se utilizzi uno dei servizi elencati di seguito, segui le istruzioni fornite per ciascun servizio utilizzato per assicurarti che il software sia aggiornato.
Amazon Elastic MapReduce (EMR) - https://forums.aws.amazon.com/ann.jspa?annID=2630
AWS Elastic Beanstalk - https://forums.aws.amazon.com/ann.jspa?annID=2629
I clienti che utilizzano AWS OpsWorks e AWS CloudFormation devono aggiornare il software delle istanze in base alle seguenti istruzioni:
AMI Amazon Linux - https://alas.aws.amazon.com/ALAS-2014-419.html
Ubuntu Server: http://www.ubuntu.com/usn/usn-2363-2/
Red Hat Enterprise Linux: https://access.redhat.com/security/cve/CVE-2014-7169
SuSE Linux Enterprise Server: http://support.novell.com/security/cve/CVE-2014-7169.html
2014/9/24 4:00 PM PDT - Aggiornamento -
Per l'avviso CVE-2014-6271 i seguenti componenti richiedono un'azione da parte dei clienti:
AMI Amazon Linux - Una correzione per CVE-2014-6271 è stata distribuita sui repository delle AMI Amazon Linux con gravità Critical (Critica).
Il nostro bollettino sulla sicurezza per questo problema è disponibile qui - https://alas.aws.amazon.com/ALAS-2014-418.html
Per impostazione predefinita, gli avvii dell'AMI Amazon Linux AMI installeranno automaticamente questo aggiornamento per la sicurezza.
Per le istanze delle AMI di Amazon Linux, esegui il comando:
sudo yum update bash
Questo comando installerà l'aggiornamento. A seconda della configurazione, potresti dover eseguire il seguente comando:
sudo yum clean all
Per ulteriori informazioni, consulta https://aws.amazon.com/amazon-linux-ami/faqs/#auto_update
Continueremo a fornire aggiornamenti in questo bollettino sulla sicurezza.
2014/9/24 9:00 AM PDT
Sappiamo che CVE 2014-6271 è stato reso pubblico il 24 settembre alle ore 7 am PDT. Al momento, stiamo esaminando gli ambienti AWS e aggiorneremo questo bollettino con maggiori dettagli al più presto.