NGINX und die Bash-Beratung CVE-2014-6271
Am 24. September 2014 wurde eine Sicherheitslücke im Bash-Shell-Interpreter bekannt. Die Einzelheiten sind in CVE-2014-6271 beschrieben. Beachten Sie, dass es eine Folgesicherheitslücke ( CVE-2014-7169 ) gibt, die zum Zeitpunkt der Erstellung dieses Artikels noch nicht behoben wurde.
Dieser Fehler wirkt sich nicht direkt auf die NGINX- oder NGINX Plus-Software aus. Wenn Sie jedoch auf einem betroffenen Hostsystem arbeiten, empfehlen wir Ihnen, die Kopie von Bash auf diesem System so schnell wie möglich zu aktualisieren.
Bitte beachten Sie die Anweisungen Ihres Betriebssystemanbieters. Zu Ihrer Information hier ein paar Links:
NGINX Plus AMIs auf AWS
Die NGINX Plus Amazon Machine Images (AMIs) (Version 1.3) basieren auf Amazon Linux oder Ubuntu und sind von dieser Sicherheitslücke betroffen. Wir erstellen und testen aktualisierte AMIs. In der Zwischenzeit müssen Sie die folgenden Befehle ausführen, um das Bash- Paket auf diesen AMIs manuell zu aktualisieren:
Für Amazon Linux AMIs:
$ sudo yum update bash-
Für Ubuntu-AMIs:
$ sudo apt-get update $ sudo apt-get install bash
Beachten Sie, dass neue Amazon Linux-basierte Instanzen beim Start automatisch aktualisiert werden.
„Dieser Blogbeitrag kann auf Produkte verweisen, die nicht mehr verfügbar und/oder nicht mehr unterstützt werden. Die aktuellsten Informationen zu verfügbaren F5 NGINX-Produkten und -Lösungen finden Sie in unserer NGINX-Produktfamilie . NGINX ist jetzt Teil von F5. Alle vorherigen NGINX.com-Links werden auf ähnliche NGINX-Inhalte auf F5.com umgeleitet."