25.09.2014 в 16:00 по тихоокеанскому летнему времени – обновление –
Мы проверили CVE-2014-6271 и CVE-2014-7169 и установили, что наши API и серверные части не затронуты. За исключением указанных ниже моментов, наши сервисы не затронуты.
Эти две уязвимости CVE влияют на стандартную командную оболочку Bash для входа, которую часто развертывают и используют на узлах Linux. Мы рекомендуем клиентам проверить все свои узлы Linux и убедиться, что у них установлена последняя версия командной оболочки Bash.
Если используется Amazon Linux, инстансы AMI Amazon Linux, запущенные после 12:30 по тихоокеанскому летнему времени 14.09.2014 г., автоматически установят необходимые обновления. Дополнительная информация об обновлении Amazon Linux опубликована на веб-странице https://alas.aws.amazon.com/ALAS-2014-419.html
Если вы используете один из указанных ниже сервисов, выполните соответствующие инструкции для обновления ПО.
Amazon Elastic MapReduce (EMR) – https://forums.aws.amazon.com/ann.jspa?annID=2630
AWS Elastic Beanstalk – https://forums.aws.amazon.com/ann.jspa?annID=2629
Клиентам AWS OpsWorks и AWS CloudFormation нужно обновить ПО инстансов согласно следующим инструкциям:
AMI Amazon Linux: https://alas.aws.amazon.com/ALAS-2014-419.html
Ubuntu Server: http://www.ubuntu.com/usn/usn-2363-2/
Red Hat Enterprise Linux: https://access.redhat.com/security/cve/CVE-2014-7169
SuSE Linux Enterprise Server: http://support.novell.com/security/cve/CVE-2014-7169.html
24.09.2014 в 16:00 по тихоокеанскому летнему времени – обновление –
Для CVE-2014-6271 необходимы следующие действия со стороны клиентов:
Amazon Linux AMI – исправление уязвимости CVE-2014-6271 добавлено в репозитории AMI Amazon Linux, для него установлена степень серьезности «Критически важно».
Наш бюллетень по безопасности с описанием этой проблемы опубликован на веб-странице https://alas.aws.amazon.com/ALAS-2014-418.html
По умолчанию во время нового запуска AMI Amazon Linux будет автоматически установлено обновление безопасности.
Для существующих инстансов AMI Amazon Linux необходимо выполнить следующую команду:
sudo yum update bash
При ее выполнении установится обновление. В зависимости от конфигурации может потребоваться выполнить еще одну команду:
sudo yum clean all
Дополнительная информация опубликована на веб-странице: https://aws.amazon.com/amazon-linux-ami/faqs/#auto_update
Мы продолжим предоставлять обновления в этом бюллетене по безопасности.
24.09.2014 в 9:00 по тихоокеанскому летнему времени
Нам известно о публикации CVE 2014-6271 в 7:00 по тихоокеанскому времени 24 сентября. Сейчас мы проверяем среды AWS и в ближайшее время внесем в бюллетень дополнительные сведения.