2014/9/25 下午 4:00 PDT - 更新 -
我們已檢閱 CVE-2014-6271 和 CVE-2014-7169,且判定我們的 API 和後端未受影響,且除了以下所述,我們的服務未受影響。
這兩個 CVE 影響了標準 Bash 登入 shell,這些廣泛部署和使用於 Linux 主機。建議客戶檢查其所有 Linux 主機,以驗證他們已安裝最新版本的 Bash shell。
如果您使用的是 Amazon Linux,2014/9/14 @12:30 PDT 之後啟動的預設 Amazon Linux AMI 的執行個體將自動安裝這些更新。如需有關更新 Amazon Linux 的更多資訊,請移至 https://alas.aws.amazon.com/ALAS-2014-419.html
如果您使用以下列出的其中一項服務,請遵循您所用每項服務的指示,確保您的軟體為最新狀態。
Amazon Elastic MapReduce (EMR) – https://forums.aws.amazon.com/ann.jspa?annID=2630
AWS Elastic Beanstalk – https://forums.aws.amazon.com/ann.jspa?annID=2629
AWS OpsWorks 和 AWS CloudFormation 客戶應根據以下指示更新其執行個體軟體:
Amazon Linux AMI - https://alas.aws.amazon.com/ALAS-2014-419.html
Ubuntu 伺服器:http://www.ubuntu.com/usn/usn-2363-2/
Red Hat Enterprise Linux:https://access.redhat.com/security/cve/CVE-2014-7169
SuSE Linux 企業伺服器:http://support.novell.com/security/cve/CVE-2014-7169.html
2014/9/24 下午 4:00 PDT - 更新 -
對於 CVE-2014-6271,以下項目需要客戶執行動作:
Amazon Linux AMI – CVE-2014-6271 修正已推送至 Amazon Linux AMI 儲存庫,嚴重性等級為「嚴重」。
我們針對此問題的安全佈告欄在此處 -- https://alas.aws.amazon.com/ALAS-2014-418.html
依預設,新 Amazon Linux AMI 推出活動將自動安裝此安全更新。
對於現有的 Amazon Linux AMI 執行個體,您將需要執行命令:
sudo yum update bash
上述命令將安裝更新。根據您的組態,可能需要執行以下命令:
sudo yum clean all
如需詳細資訊,請參閱 https://aws.amazon.com/amazon-linux-ami/faqs/#auto_update
我們將繼續在此安全佈告欄中提供更新。
2014/9/24 上午 9:00 PDT
我們注意到 CVE 2014-6271 於 9 月 24 日上午 7 點 PDT 上市。我們目前正在檢閱 AWS 環境,且很快將以更多詳細資料更新此佈告欄。