【速報】AWS EC2におけるShellShockの対応状況について

記事タイトルとURLをコピーする

bashの脆弱性「ShellShock」に関するEC2の対応状況をお知らせします。 脆弱性情報
CVE-2014-6271 CVE-2014-7169
  Amazon Linux AMI Security Advisory: ALAS-2014-418  Amazon Linux AMI Security Advisory: ALAS-2014-419  EC2上にて利用できる対策済みパッケージ

ディストリビューション CVE-2014-6271 CVE-2014-7169
Amazon Linux i686 bash-4.1.2-15.19.amzn1.i686 bash-4.1.2-15.21.amzn1.i686
Amazon Linux x86_64 bash-4.1.2-15.19.amzn1.x86_64 bash-4.1.2-15.21.amzn1.x86_64
RHEL5 i386 bash-3.2-33.el5.1.i386.rpm bash-3.2-33.el5_11.4.i386.rpm
RHEL5 x86_64 bash-3.2-33.el5.1.x86_64.rpm bash-3.2-33.el5_11.4.x86_64.rpm
RHEL6 i386 bash-4.1.2-15.el6_5.1.i686.rpm bash-4.1.2-15.el6_5.2.i686.rpm
RHEL6 x86_64 bash-4.1.2-15.el6_5.1.x86_64.rpm bash-4.1.2-15.el6_5.2.x86_64.rpm
RHEL7 x86_64 bash-4.2.45-5.el7_0.2.x86_64.rpm bash-4.2.45-5.el7_0.4.x86_64.rpm

環境により、CVE-2014-7169まで対策済みのパッケージが取得できる環境と
CVE-2014-6271対策済みのパッケージまでしか取得できない環境がありますが、順次リポジトリに登録されるものと思われますので
CVE-2014-6271対策済みのパッケージまでしか見えない環境につきましては、しばらく時間をおいてから、再度アップデートを試みてください。 以下のコマンドにてbashのアップデートが可能です。

$ sudo yum update bash

2014/09/29 10:37追記 その後公開された脆弱性情報
CVE-2014-7186 CVE-2014-7187 については、CVE-2014-7169に対応するリリースにて同時に修正されているもようです。 2014/09/29/ 15:57 追記 現在 「bash祭り」のためリポジトリが混雑しているようです
このためyum リポジトリが参照できずに、キャッシュから回答されるため最新のパッケージがリストされない場合があるようです。
yum updateをした際に、古いパッケージしか表示されない場合は、以下のコマンドを実行し、yum のキャッシュをクリアしてから、
再度アップデートを実施するようにしてください。

$ sudo yum clean all
$ sudo yum update bash