25/9/2014 4:00 CH PDT - Cập nhật -
Chúng tôi đã xem xét CVE-2014-6271 và CVE-2014-7169 và đã xác định rằng API và backend của chúng tôi không bị ảnh hưởng và ngoại trừ như được lưu ý dưới đây, các dịch vụ của chúng tôi không bị ảnh hưởng.
Hai CVE này ảnh hưởng đến shell đăng nhập bash tiêu chuẩn, được triển khai và sử dụng rộng rãi trên các máy chủ Linux. Chúng tôi khuyên khách hàng nên kiểm tra tất cả các máy chủ Linux của họ để xác minh rằng họ có các phiên bản cập nhật của bash shell được cài đặt.
Nếu bạn đang sử dụng Amazon Linux, các phiên bản của AMI Amazon Linux mặc định được phát hành sau ngày 14/9/2014 vào lúc 12:30 PDT sẽ tự động cài đặt các bản cập nhật này. Để biết thêm thông tin về việc cập nhật Amazon Linux, vui lòng vào đây https://alas.aws.amazon.com/ALAS-2014-419.html
Nếu bạn sử dụng một trong các dịch vụ được liệt kê dưới đây, vui lòng làm theo hướng dẫn cho từng dịch vụ bạn sử dụng để đảm bảo phần mềm của bạn được cập nhật.
Amazon Elastic MapReduce (EMR) – https://forums.aws.amazon.com/ann.jspa?annID=2630
AWS Elastic Beanstalk – https://forums.aws.amazon.com/ann.jspa?annID=2629
Khách hàng AWS OpsWorks và AWS CloudFormation nên cập nhật phần mềm phiên bản của họ theo các hướng dẫn sau:
Amazon Linux AMI - https://alas.aws.amazon.com/ALAS-2014-419.html
Ubuntu Server: http://www.ubuntu.com/usn/usn-2363-2/
Red Hat Enterprise Linux: https://access.redhat.com/security/cve/CVE-2014-7169
SuSE Linux Enterprise Server: http://support.novell.com/security/cve/CVE-2014-7169.html
24/9/2014 4:00 CH PDT - Cập nhật -
Đối với CVE-2014-6271, phần sau yêu cầu hành động từ khách hàng:
AMI Amazon Linux – Một bản sửa lỗi cho CVE-2014-6271 đã được đẩy lên kho lưu trữ AMI của Amazon Linux, với mức độ Nghiêm trọng.
Bản tin bảo mật của chúng tôi cho vấn đề này có ở đây -- https://alas.aws.amazon.com/ALAS-2014-418.html
Theo mặc định, AMI Amazon Linux mới ra mắt sẽ tự động cài đặt bản cập nhật bảo mật này.
Đối với các phiên bản AMI Amazon Linux hiện có, bạn sẽ cần chạy lệnh:
sudo yum update bash
Lệnh trên sẽ cài đặt bản cập nhật. Tùy thuộc vào cấu hình của bạn, bạn có thể cần chạy lệnh sau:
sudo yum clean all
Để biết thêm thông tin, vui lòng xem https://aws.amazon.com/amazon-linux-ami/faqs/#auto_update
Chúng tôi sẽ tiếp tục cung cấp thông tin cập nhật trong bản tin bảo mật này.
24/9/2014 9:00 SA PDT
Chúng tôi biết CVE 2014-6271 được công bố vào ngày 24 tháng 9 lúc 7 SA PDT. Chúng tôi hiện đang xem xét môi trường AWS và sẽ cập nhật bản tin này với nhiều chi tiết hơn trong thời gian ngắn.