Em 24 de setembro de 2014, uma vulnerabilidade foi revelada no interpretador de shell Bash. Os detalhes são descritos em CVE-2014-6271 . Observe que há uma vulnerabilidade de acompanhamento ( CVE-2014-7169 ) que não foi corrigida até o momento em que este artigo foi escrito.
Este bug não afeta o software NGINX ou NGINX Plus diretamente, mas se você estiver executando em um sistema host afetado, recomendamos que você atualize a cópia do bash nesse sistema o mais rápido possível.
Consulte as instruções do fornecedor do seu sistema operacional. Para sua conveniência, aqui estão alguns links:
As imagens de máquina da Amazon (AMIs) do NGINX Plus (versão 1.3) são criadas no Amazon Linux ou Ubuntu e sofrem com essa vulnerabilidade. Estamos criando e testando AMIs atualizadas e, enquanto isso, você precisa executar os seguintes comandos para atualizar manualmente o pacote bash nessas AMIs:
Para AMIs do Amazon Linux:
$ sudo yum atualização bash
Para AMIs do Ubuntu:
$ sudo apt-get update $ sudo apt-get install bash
Observe que novas instâncias baseadas no Amazon Linux são atualizadas automaticamente na inicialização.
"Esta postagem do blog pode fazer referência a produtos que não estão mais disponíveis e/ou não têm mais suporte. Para obter as informações mais atualizadas sobre os produtos e soluções F5 NGINX disponíveis, explore nossa família de produtos NGINX . O NGINX agora faz parte do F5. Todos os links anteriores do NGINX.com redirecionarão para conteúdo semelhante do NGINX no F5.com."