NGINX y el aviso de Bash CVE-2014-6271
El 24 de septiembre de 2014, se reveló una vulnerabilidad en el intérprete de shell Bash. Los detalles se describen en CVE-2014-6271 . Tenga en cuenta que existe una vulnerabilidad de seguimiento ( CVE-2014-7169 ) que no ha sido parcheada hasta el momento de escribir este artículo.
Este error no afecta directamente al software NGINX o NGINX Plus, pero si está ejecutándose en un sistema host afectado, le recomendamos que actualice la copia de bash en ese sistema lo antes posible.
Consulte las instrucciones del proveedor de su sistema operativo. Para su comodidad, aquí le dejamos algunos enlaces:
AMI de NGINX Plus en AWS
Las imágenes de máquina de Amazon (AMI) NGINX Plus (versión 1.3) están construidas sobre Amazon Linux o Ubuntu y sufren esta vulnerabilidad. Estamos creando y probando AMI actualizadas y, mientras tanto, debes ejecutar los siguientes comandos para actualizar manualmente el paquete bash en esas AMI:
Para las AMI de Amazon Linux:
$ sudo yum update bash-
Para las AMI de Ubuntu:
$ sudo apt-get update $ sudo apt-get install bash
Tenga en cuenta que las nuevas instancias basadas en Amazon Linux se actualizan automáticamente al iniciarse.
"Esta publicación de blog puede hacer referencia a productos que ya no están disponibles o que ya no reciben soporte. Para obtener la información más actualizada sobre los productos y soluciones F5 NGINX disponibles, explore nuestra familia de productos NGINX . NGINX ahora es parte de F5. Todos los enlaces anteriores de NGINX.com redirigirán a contenido similar de NGINX en F5.com.