NGINX と CVE-2014-6271 Bash アドバイザリ
2014 年 9 月 24 日に、Bash シェル インタープリターに脆弱性が明らかになりました。 詳細はCVE-2014-6271に記載されています。 なお、この記事の執筆時点では修正されていない追加の脆弱性 ( CVE-2014-7169 ) があることに注意してください。
このバグは NGINX または NGINX Plus ソフトウェアに直接影響しませんが、影響を受けるホスト システムで実行している場合は、そのシステム上のbashのコピーをできるだけ早くアップグレードすることをお勧めします。
オペレーティング システム ベンダーの指示を参照してください。 便宜上、いくつかのリンクをここに示します。
AWS 上の NGINX Plus AMI
NGINX Plus Amazon マシンイメージ (AMI) (バージョン 1.3) は Amazon Linux または Ubuntu 上に構築されており、この脆弱性の影響を受けます。 更新された AMI を構築およびテスト中です。その間、次のコマンドを実行して、それらの AMI 上のbashパッケージを手動で更新する必要があります。
Amazon Linux AMI の場合:
$ sudo yum アップデートbash-
Ubuntu AMIの場合:
$ sudo apt-get アップデート$ sudo apt-get インストール bash
新しい Amazon Linux ベースのインスタンスは起動時に自動的に更新されることに注意してください。
「このブログ投稿には、入手できなくなった製品やサポートされなくなった製品が参照されている場合があります。 利用可能な F5 NGINX 製品およびソリューションに関する最新情報については、 NGINX 製品ファミリーをご覧ください。 NGINX は現在 F5 の一部です。 以前の NGINX.com リンクはすべて、F5.com の同様の NGINX コンテンツにリダイレクトされます。"