2014/9/25 – 太平洋夏令时凌晨 4:00 – 更新 –

我们检查了 CVE-2014-6271 和 CVE-2014-7169 并确定我们的 API 和后端不受影响,并且除下文列出的外,我们的服务也不受影响。

这两个 CVE 会影响在 Linux 主机上广泛部署和使用的标准 bash 登录外壳。我们建议客户检查其所有 Linux 主机,确认这些主机已经安装了最新版本的 bash 外壳。

如果您使用的是 Amazon Linux,在 2014 年 9 月 14 日太平洋夏令时 12:30 以后启动的默认 Amazon Linux AMI 实例将会自动安装这些更新。有关更新 Amazon Linux 的更多信息,请参阅此处 https://alas.thinkwithwp.com/ALAS-2014-419.html

如果您使用下列任何服务,请遵循适用于您所使用的各项服务的说明操作,以确保您的软件保持更新。

Amazon Elastic MapReduce (EMR) – https://forums.thinkwithwp.com/ann.jspa?annID=2630
AWS Elastic Beanstalk – https://forums.thinkwithwp.com/ann.jspa?annID=2629

AWS OpsWorks 和 AWS CloudFormation 客户应按照以下说明更新其实例软件:

Amazon Linux AMI – https://alas.thinkwithwp.com/ALAS-2014-419.html
Ubuntu Server:http://www.ubuntu.com/usn/usn-2363-2/
Red Hat Enterprise Linux:https://access.redhat.com/security/cve/CVE-2014-7169
SuSE Linux Enterprise Server:http://support.novell.com/security/cve/CVE-2014-7169.html

 

2014/9/24 – 太平洋夏令时凌晨 4:00 – 更新 –

对于 CVE-2014-6271,客户需要执行下列操作:

Amazon Linux AMI – CVE-2014-6271 的修补程序已推送到 Amazon Linux AMI 存储库中,其严重性评级为“严重”。

有关此问题的安全公告详见此处 – https://alas.thinkwithwp.com/ALAS-2014-418.html

默认情况下,新启动的 Amazon Linux AMI 将会自动安装此安全更新。

对于现有的 Amazon Linux AMI 实例,您需要运行如下命令:

    sudo yum update bash

上述命令将会安装更新。根据您的配置,您可能需要运行以下命令:

    sudo yum clean all

有关更多信息,请参阅 https://thinkwithwp.com/amazon-linux-ami/faqs/#auto_update

 

我们将继续提供此安全公告中的更新。

 

2014/9/24 太平洋夏令时上午 9:00

我们了解到 CVE 2014-6271 已在 9 月 24 日太平洋夏令时上午 7 点公开发布。目前我们正在检查 AWS 的环境,并将尽快通报有关此公告的更多详细信息。