25/9/2014 16.00 น. เวลาตามฤดูกาลของแปซิฟิก - อัปเดต -
เราได้ตรวจสอบ CVE-2014-6271 และ CVE-2014-7169 แล้ว และพบว่า API และแบ็คเอ็นด์ไม่ได้รับผลกระทบ และคาดว่าบริการของเราไม่ได้รับผลกระทบใดๆ ตามที่ระบุไว้ด้านล่าง
CVE ทั้งสองนี้มีผลกระทบต่อเชลล์การเข้าสู่ระบบ bash ที่ติดตั้งใช้จริงและใช้กันอย่างแพร่หลายในโฮสต์ Linux เราแนะนำให้ลูกค้าตรวจสอบโฮสต์ Linux ทั้งหมดเพื่อตรวจสอบว่ามีการติดตั้งเชลล์ bash เวอร์ชันล่าสุดแล้ว
หากคุณกำลังใช้ Amazon Linux อินสแตนซ์ของ Amazon Linux AMI เริ่มต้นที่เปิดตัวหลังจาก 14/9/2014 เวลา 12.30 น. เวลาตามฤดูกาลของแปซิฟิกจะติดตั้งการอัปเดตเหล่านี้โดยอัตโนมัติ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดต Amazon Linux โปรดไปที่นี่ https://alas.aws.amazon.com/ALAS-2014-419.html
หากคุณใช้บริการใดบริการหนึ่งที่ระบุด้านล่าง โปรดปฏิบัติตามคำแนะนำสำหรับบริการแต่ละบริการที่คุณใช้เพื่อให้แน่ใจว่าซอฟต์แวร์ของคุณเป็นปัจจุบัน
Amazon Elastic MapReduce (EMR) – https://forums.aws.amazon.com/ann.jspa?annID=2630
AWS Elastic Beanstalk – https://forums.aws.amazon.com/ann.jspa?annID=2629
ลูกค้า AWS OpsWorks และ AWS CloudFormation ควรอัปเดตซอฟต์แวร์อินสแตนซ์ตามคำแนะนำเหล่านี้:
Amazon Linux AMI - https://alas.aws.amazon.com/ALAS-2014-419.html
Ubuntu Server: http://www.ubuntu.com/usn/usn-2363-2/
Red Hat Enterprise Linux: https://access.redhat.com/security/cve/CVE-2014-7169
SuSE Linux Enterprise Server: http://support.novell.com/security/cve/CVE-2014-7169.html
24/9/2014 16.00 น. เวลาตามฤดูกาลของแปซิฟิก - อัปเดต -
สำหรับ CVE-2014-6271 รายการต่อไปนี้ต้องใช้การดำเนินการจากลูกค้า:
Amazon Linux AMI – การแก้ไขสำหรับ CVE-2014-6271 ได้รับการส่งเรื่องไปยังพื้นที่จัดเก็บ Amazon Linux AMI แล้ว โดยมีคะแนนความร้ายแรงที่ร้ายแรงมาก
กระดานข่าวความปลอดภัยสำหรับปัญหานี้อยู่ที่นี่ -- https://alas.aws.amazon.com/ALAS-2014-418.html
การเปิด Amazon Linux AMI จะติดตั้งการอัปเดตด้านความปลอดภัยนี้โดยอัตโนมัติตามค่าเริ่มต้น
สำหรับอินสแตนซ์ Amazon Linux AMI ที่มีอยู่ คุณจะต้องเรียกใช้คำสั่ง:
sudo yum update bash
คำสั่งด้านบนจะติดตั้งการอัปเดต คุณอาจต้องเรียกใช้คำสั่งต่อไปนี้ด้วย โดยขึ้นอยู่กับการกำหนดค่า:
sudo yum clean all
สำหรับข้อมูลเพิ่มเติม โปรดดูที่ https://aws.amazon.com/amazon-linux-ami/faqs/#auto_update
เราจะลงข้อมูลอัปเดตต่อไปในกระดานข่าวความปลอดภัยนี้
24/9/2014 9.00 น. เวลาตามฤดูกาลของแปซิฟิก
เรารับทราบถึง CVE 2014-6271 ที่เผยแพร่สู่สาธรณะเมื่อวันที่ 24 กันยายน เวลา 7.00 น. เวลาตามฤดูกาลของแปซิฟิกแล้ว ขณะนี้เรากำลังตรวจสอบสภาพแวดล้อม AWS และจะอัปเดตกระดานข่าวนี้ด้วยรายละเอียดเพิ่มเติมในไม่ช้า