25.09.2014 в 16:00 по тихоокеанскому летнему времени – обновление –

Мы проверили CVE-2014-6271 и CVE-2014-7169 и установили, что наши API и серверные части не затронуты. За исключением указанных ниже моментов, наши сервисы не затронуты.

Эти две уязвимости CVE влияют на стандартную командную оболочку Bash для входа, которую часто развертывают и используют на узлах Linux. Мы рекомендуем клиентам проверить все свои узлы Linux и убедиться, что у них установлена последняя версия командной оболочки Bash.

Если используется Amazon Linux, инстансы AMI Amazon Linux, запущенные после 12:30 по тихоокеанскому летнему времени 14.09.2014 г., автоматически установят необходимые обновления. Дополнительная информация об обновлении Amazon Linux опубликована на веб-странице https://alas.aws.amazon.com/ALAS-2014-419.html

Если вы используете один из указанных ниже сервисов, выполните соответствующие инструкции для обновления ПО.

Amazon Elastic MapReduce (EMR) – https://forums.aws.amazon.com/ann.jspa?annID=2630
AWS Elastic Beanstalk – https://forums.aws.amazon.com/ann.jspa?annID=2629

Клиентам AWS OpsWorks и AWS CloudFormation нужно обновить ПО инстансов согласно следующим инструкциям:

AMI Amazon Linux: https://alas.aws.amazon.com/ALAS-2014-419.html
Ubuntu Server: http://www.ubuntu.com/usn/usn-2363-2/
Red Hat Enterprise Linux: https://access.redhat.com/security/cve/CVE-2014-7169
SuSE Linux Enterprise Server: http://support.novell.com/security/cve/CVE-2014-7169.html

 

24.09.2014 в 16:00 по тихоокеанскому летнему времени – обновление –

Для CVE-2014-6271 необходимы следующие действия со стороны клиентов:

Amazon Linux AMI – исправление уязвимости CVE-2014-6271 добавлено в репозитории AMI Amazon Linux, для него установлена степень серьезности «Критически важно».

Наш бюллетень по безопасности с описанием этой проблемы опубликован на веб-странице https://alas.aws.amazon.com/ALAS-2014-418.html

По умолчанию во время нового запуска AMI Amazon Linux будет автоматически установлено обновление безопасности.

Для существующих инстансов AMI Amazon Linux необходимо выполнить следующую команду:

    sudo yum update bash

При ее выполнении установится обновление. В зависимости от конфигурации может потребоваться выполнить еще одну команду:

    sudo yum clean all

Дополнительная информация опубликована на веб-странице: https://aws.amazon.com/amazon-linux-ami/faqs/#auto_update

 

Мы продолжим предоставлять обновления в этом бюллетене по безопасности.

 

24.09.2014 в 9:00 по тихоокеанскому летнему времени

Нам известно о публикации CVE 2014-6271 в 7:00 по тихоокеанскому времени 24 сентября. Сейчас мы проверяем среды AWS и в ближайшее время внесем в бюллетень дополнительные сведения.