2014 年 9 月 25 日午後 4 時 (大洋平標準時) - 更新
CVE-2014-6271 および CVE-2014-7169 を確認した結果、API およびバックエンドは影響を受けないと判断しました。以下に記載されている場合を除き、サービスは影響を受けません。
これらの 2 つの CVE は、Linux ホストで広くデプロイされ使用されている標準の bash ログインシェルに影響を与えます。すべての Linux ホストをチェックして、最新バージョンの bash シェルがインストールされていることを確認することをお勧めします。
Amazon Linux をご使用の場合、2014 年 9 月 14 日午後 12 時 30 分 (太平洋標準時) 以降に起動されたデフォルトの Amazon Linux AMI のインスタンスは、これらの更新を自動的にインストールします。Amazon Linux 更新の詳細については、https://alas.aws.amazon.com/ALAS-2014-419.html をご覧ください。
以下のサービスのいずれかを使用する場合は、使用する各サービスの手順通りに、ソフトウェアが最新の状態であることを確認してください。
Amazon Elastic MapReduce (EMR) – https://forums.aws.amazon.com/ann.jspa?annID=2630
AWS Elastic Beanstalk – https://forums.aws.amazon.com/ann.jspa?annID=2629
AWS OpsWorks および AWS CloudFormation のお客様は、次の指示通りにインスタンスソフトウェアを更新する必要があります。
Amazon Linux AMI - https://alas.aws.amazon.com/ALAS-2014-419.html
Ubuntu サーバー: http://www.ubuntu.com/usn/usn-2363-2/
Red Hat Enterprise Linux: https://access.redhat.com/security/cve/CVE-2014-7169
SuSE Linux Enterprise サーバー: http://support.novell.com/security/cve/CVE-2014-7169.html
2014 年 9 月 24 日午後 4 時 (大洋平標準時) - 更新
CVE-2014-6271 の場合、以下に対してお客様のアクションが必要です。
Amazon Linux AMI – CVE-2014-6271 の修正が Amazon Linux AMI リポジトリにプッシュされ、重大度がクリティカルになりました。
この問題に関するセキュリティ情報はこちら (https://alas.aws.amazon.com/ALAS-2014-418.html) をご覧ください。
デフォルトでは、新しい Amazon Linux AMI を起動すると、このセキュリティ更新プログラムが自動的にインストールされます。
既存の Amazon Linux AMI インスタンスの場合、次のコマンドを実行する必要があります。
sudo yum update bash
上記のコマンドは、更新プログラムをインストールします。設定に応じて、次のコマンドを実行する必要があります。
sudo yum clean all
詳細については、https://aws.amazon.com/amazon-linux-ami/faqs/#auto_update をご覧ください。
このセキュリティ情報で引き続き更新プログラムを提供します。
2014 年 9 月 24 日午前 9 時 (太平洋標準時)
9 月 24 日午前 7時 (太平洋標準時) に CVE 2014-6271 が公開されたことを認識しました。現在、AWS 環境を確認しており、近日中にこのセキュリティ情報の詳細を更新する予定です。