bashの脆弱性「ShellShock」に関するEC2の対応状況をお知らせします。 脆弱性情報
CVE-2014-6271 CVE-2014-7169
Amazon Linux AMI Security Advisory: ALAS-2014-418 Amazon Linux AMI Security Advisory: ALAS-2014-419 EC2上にて利用できる対策済みパッケージ
| ディストリビューション | CVE-2014-6271 | CVE-2014-7169 |
|---|---|---|
| Amazon Linux i686 | bash-4.1.2-15.19.amzn1.i686 | bash-4.1.2-15.21.amzn1.i686 |
| Amazon Linux x86_64 | bash-4.1.2-15.19.amzn1.x86_64 | bash-4.1.2-15.21.amzn1.x86_64 |
| RHEL5 i386 | bash-3.2-33.el5.1.i386.rpm | bash-3.2-33.el5_11.4.i386.rpm |
| RHEL5 x86_64 | bash-3.2-33.el5.1.x86_64.rpm | bash-3.2-33.el5_11.4.x86_64.rpm |
| RHEL6 i386 | bash-4.1.2-15.el6_5.1.i686.rpm | bash-4.1.2-15.el6_5.2.i686.rpm |
| RHEL6 x86_64 | bash-4.1.2-15.el6_5.1.x86_64.rpm | bash-4.1.2-15.el6_5.2.x86_64.rpm |
| RHEL7 x86_64 | bash-4.2.45-5.el7_0.2.x86_64.rpm | bash-4.2.45-5.el7_0.4.x86_64.rpm |
環境により、CVE-2014-7169まで対策済みのパッケージが取得できる環境と
CVE-2014-6271対策済みのパッケージまでしか取得できない環境がありますが、順次リポジトリに登録されるものと思われますので
CVE-2014-6271対策済みのパッケージまでしか見えない環境につきましては、しばらく時間をおいてから、再度アップデートを試みてください。 以下のコマンドにてbashのアップデートが可能です。
$ sudo yum update bash
2014/09/29 10:37追記 その後公開された脆弱性情報
CVE-2014-7186 CVE-2014-7187 については、CVE-2014-7169に対応するリリースにて同時に修正されているもようです。 2014/09/29/ 15:57 追記 現在 「bash祭り」のためリポジトリが混雑しているようです
このためyum リポジトリが参照できずに、キャッシュから回答されるため最新のパッケージがリストされない場合があるようです。
yum updateをした際に、古いパッケージしか表示されない場合は、以下のコマンドを実行し、yum のキャッシュをクリアしてから、
再度アップデートを実施するようにしてください。
$ sudo yum clean all $ sudo yum update bash
