2014년 9월 25일 오후 4시(태평양 표준시) - 업데이트
AWS에서는 CVE-2014-6271 및 CVE-2014-7169를 검토했으며, AWS의 API 및 백엔드는 영향을 받지 않으며 아래에 설명한 경우 외에는 당사의 서비스도 영향을 받지 않는 것으로 판단했습니다.
이 두 개의 CVE는 Linux 호스트에 광범위하게 배포 및 사용되는 표준 bashs 로그인 셸에 영향을 미칩니다. AWS에서는 고객이 모든 Linux 호스트에 최신 버전의 bash 셸이 설치되어 있는지 점검할 것을 권장합니다.
Amazon Linux를 사용하는 경우, 2014년 9월 14일 오전 12시 30분(태평양 표준시) 이후에 시작된 기본 Amazon Linux AMI에는 자동으로 이러한 업데이트가 설치되어 있습니다. Amazon Linux 업데이트에 대한 자세한 내용은 https://alas.aws.amazon.com/ALAS-2014-419.html을 참조하십시오.
아래 나열된 서비스 중 하나를 사용하는 경우, 사용 중인 각 서비스에 대한 지침을 따라 소프트웨어를 최신 상태로 유지합니다.
Amazon Elastic MapReduce(EMR) – https://forums.aws.amazon.com/ann.jspa?annID=2630
AWS Elastic Beanstalk – https://forums.aws.amazon.com/ann.jspa?annID=2629
AWS OpsWorks 및 AWS CloudFormation 고객은 다음 지침을 따라 인스턴스 소프트웨어를 업데이트해야 합니다.
Amazon Linux AMI - https://alas.aws.amazon.com/ALAS-2014-419.html
Ubuntu Server: http://www.ubuntu.com/usn/usn-2363-2/
Red Hat Enterprise Linux: https://access.redhat.com/security/cve/CVE-2014-7169
SuSE Linux Enterprise Server: http://support.novell.com/security/cve/CVE-2014-7169.html
2014년 9월 24일 오후 4시(태평양 표준시) - 업데이트
CVE-2014-6271에 대해서는 다음의 경우 고객의 조치가 필요합니다.
Amazon Linux AMI – CVE-2014-6271에 대한 수정 사항이 위험 심각도 등급으로 Amazon Linux AMI 리포지토리에 게시되었습니다.
이 문제에 대한 AWS의 보안 공지는 https://alas.aws.amazon.com/ALAS-2014-418.html에서 확인할 수 있습니다.
기본적으로, 새로 시작하는 Amazon Linux AMI는 이 보안 업데이트를 자동으로 설치합니다.
기존 Amazon Linux AMI 인스턴스의 경우, 다음 명령을 실행해야 합니다.
sudo yum update bash
위 명령은 업데이트를 설치합니다. 구성에 따라 다음 명령을 실행해야 할 수도 있습니다.
sudo yum clean all
자세한 내용은 https://aws.amazon.com/amazon-linux-ami/faqs/#auto_update를 참조하십시오.
이 보안 공지를 통해 계속해서 업데이트를 제공해 드리겠습니다.
2014년 9월 24일 오전 9시(태평양 표준시)
AWS는 9월 24일 오전 7시(태평양 표준시)에 공개된 CVE 2014-6271에 대해 인지하고 있습니다. AWS에서는 현재 AWS 환경을 검토하고 있으며, 곧 이 공지를 업데이트하여 추가적인 세부 정보를 제공해 드릴 예정입니다.