NGINX et l'alerte Bash CVE-2014-6271
Le 24 septembre 2014, une vulnérabilité a été révélée dans l'interpréteur de commandes Bash. Les détails sont décrits dans CVE-2014-6271 . Notez qu’il existe une vulnérabilité de suivi ( CVE-2014-7169 ) qui n’a pas été corrigée au moment de la rédaction de cet article.
Ce bogue n'affecte pas directement le logiciel NGINX ou NGINX Plus, mais si vous l'utilisez sur un système hôte affecté, nous vous recommandons de mettre à niveau la copie de bash sur ce système dès que possible.
Veuillez vous référer aux instructions du fournisseur de votre système d’exploitation. Pour votre commodité, voici quelques liens :
AMI NGINX Plus sur AWS
Les images machine Amazon NGINX Plus (AMI) (version 1.3) sont construites sur Amazon Linux ou Ubuntu et souffrent de cette vulnérabilité. Nous créons et testons des AMI mises à jour, et en attendant, vous devez exécuter les commandes suivantes pour mettre à jour manuellement le package bash sur ces AMI :
Pour les AMI Amazon Linux :
$ sudo yum update bash-
Pour les AMI Ubuntu :
$ sudo apt-get update $ sudo apt-get install bash
Notez que les nouvelles instances basées sur Amazon Linux sont automatiquement mises à jour au démarrage.
« Cet article de blog peut faire référence à des produits qui ne sont plus disponibles et/ou qui ne sont plus pris en charge. Pour obtenir les informations les plus récentes sur les produits et solutions F5 NGINX disponibles, explorez notre famille de produits NGINX . NGINX fait désormais partie de F5. Tous les liens NGINX.com précédents redirigeront vers un contenu NGINX similaire sur F5.com."