AWS 注意到最近披露的与开源 Apache“Log4j2”实用工具相关的问题(CVE-2021-44228 和 CVE-2021-45046)。

对此类安全问题的响应体现了拥有多层防御技术的价值,这对于维护客户数据和工作负载的安全非常重要。

我们非常重视这个问题,我们世界一流的工程师团队已将此处提供的 Amazon 开发的 Java 热补丁全面部署到所有 AWS 服务。该热补丁会更新 Java VM 以禁用 Java 命名和目录接口 (JNDI) 类的加载,将其替换为无害的通知消息,从而缓解 CVE-2021-44228 和 CVE-2021-45046 问题。  我们将很快完成将更新的 Log4j 库部署到我们所有服务的工作。  有关 Java 热补丁的更多信息,请访问 https://aws.amazon.com/blogs/security/open-source-hotpatch-for-apache-log4j-vulnerability/

即使部署了该热补丁,客户仍应尽快安全部署更新的 Log4j 库,就像我们在 AWS 所做的那样。

有关如何使用 AWS 服务检测和修复 Log4j CVE 的更多详细信息,请在此处阅读我们最新的博客文章。

在此最终公告之后,无需进一步执行特定于服务的更新。

如果您需要更多详细信息或帮助,请联系 AWS Support。

Amazon Connect

Amazon Connect 已更新,旨在缓解 CVE-2021-44228 中发现的问题。

我们建议客户评估其环境中位于 Amazon Connect 服务边界之外的组件(例如从接洽流程调用的 Lambda 函数),这些组件可能需要单独/额外的客户缓解措施。

Amazon Chime

Amazon Chime SDK 服务已更新,旨在缓解 CVE-2021-44228 和 CVE-2021-45046 中发现的问题。

Amazon Chime 服务已更新,旨在缓解 CVE-2021-44228 和 CVE-2021-45046 中发现的问题。

Amazon EMR

处理来自不受信任来源的输入时,CVE-2021-44228 会影响版本 2.0 至 2.14.1 之间的 Apache Log4j。使用 EMR 5 和 EMR 6 版本启动的 EMR 集群提供了开源框架(例如 Apache Hive、Apache Flink、HUDI、Presto 和 Trino),它们使用上述版本的 Apache Log4j。使用 EMR 的默认配置启动集群时,它不会处理来自不受信任来源的输入。许多客户使用安装在其 EMR 集群上的开源框架来处理和记录来自不受信任来源的输入。因此,AWS 建议您应用此处描述的解决方案。

Amazon Fraud Detector

Amazon Fraud Detector 服务已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon Kendra

Amazon Kendra 已更新,以缓解 CVE-2021-44228 问题。

Amazon Lex

Amazon Lex 已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon Lookout for Equipment

Amazon Lookout for Equipment 已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon Macie

Amazon Macie 服务已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon Macie Classic

Amazon Macie Classic 服务已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon Monitron

Amazon Monitron 已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon RDS

Amazon RDS 和 Amazon Aurora 已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon Rekognition

Amazon Rekognition 服务已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon VPC

Amazon VPC(包括互联网网关和虚拟网关服务)已更新,旨在缓解 CVE-2021-44228 中提及的 Log4j 问题。

AWS AppSync

AWS AppSync 已更新,旨在缓解 CVE-2021-44228 和 CVE-2021-45046 中发现的问题。

AWS Certificate Manager

AWS Certificate Manager 服务已更新,旨在缓解 CVE-2021-44228 中发现的问题。

ACM Private CA 服务已更新,旨在缓解 CVE-2021-44228 中发现的问题。

AWS Service Catalog

AWS Service Catalog 服务已更新,旨在缓解 CVE-2021-44228 中发现的问题。

AWS Systems Manager

AWS Systems Manager 服务已更新,旨在缓解 CVE-2021-44228 中发现的问题。Systems Manager Agent 本身不受此问题影响。

AWS 注意到最近披露的与开源 Apache“Log4j2”实用工具相关的问题(CVE-2021-44228 和 CVE-2021-45046)。

对此类安全问题的响应体现了拥有多层防御技术的价值,这对于维护客户数据和工作负载的安全非常重要。我们非常重视这个问题,并且我们世界一流的工程师团队一直在夜以继日地进行响应和修复。我们希望迅速恢复深度防御的完整状态。

我们在 AWS 内部广泛开发和部署的技术之一是针对可能包括 Log4j 的应用程序的热补丁。该热补丁会更新 Java VM 以禁用 Java 命名和目录接口 (JNDI) 类的加载,将其替换为无害的通知消息,从而有效缓解 CVE-2021-44228 和 CVE-2021-45046 问题。

我们还将其作为开源解决方案提供,可在此处获得。

即使部署了该热补丁,客户仍应尽快安全部署更新的 Log4j 库。

有关如何使用 AWS 服务检测和修复 Log4j CVE 的更多详细信息,请在此处阅读我们最新的博客文章。

下面提供了其他特定于服务的信息。如果您需要更多详细信息或帮助,请联系 AWS Support。

Amazon EKS、Amazon ECS 和 AWS Fargate

为了帮助缓解开源 Apache“Log4j2”实用工具安全问题(CVE-2021-44228 和 CVE-2021-45046)对客户容器的影响,Amazon EKS、Amazon ECS 和 AWS Fargate 正在部署基于 Linux 的更新(热补丁)。该热补丁需要客户选择使用,并会禁用客户容器中 Log4J2 库的 JNDI 查找功能。这些更新将作为 Amazon Linux 包向 Amazon ECS 客户提供,作为 DaemonSet 向 AWS 上的 Kubernetes 用户提供,并将采用受支持的 AWS Fargate 平台版本。

建议在 Windows 容器上运行基于 Java 的应用程序的客户遵循此处的 Microsoft 指南。

Amazon ECR Public 和 Amazon ECR

使用经过验证的账户在 Amazon ECR Public 上发布的 Amazon 自有映像不受 CVE-2021-4422 中描述的问题影响。对于 Amazon ECR 上的客户自有映像,AWS 通过 Amazon Inspector 提供增强扫描功能,该功能旨在持续扫描容器映像以查找已知安全问题,包括包含 CVE-2021-44228 的容器映像。检查结果在 Inspector 和 ECR 控制台中报告。Inspector 包括 15 天的免费试用期以及针对 Inspector 新账户的免费容器映像扫描。对于通过第三方发布商使用 ECR Public 中的映像的客户,客户可以使用 ECR 最近推出的穿透提取缓存功能将这些映像从 ECR Public 复制到他们的 ECR 注册表中,然后使用 Inspector 扫描来检测安全问题。

Amazon Cognito

Amazon Cognito 服务已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon Pinpoint

Amazon Pinpoint 服务已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon EventBridge

Amazon EventBridge 已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Elastic Load Balancing

Elastic Load Balancing 服务已更新,旨在缓解 CVE-2021-44228 中发现的问题。所有 Elastic Load Balancer 以及 Classic、Application、Network 和 Gateway 均非使用 Java 编写,因此不受此问题影响。

AWS CodePipeline


AWS CodePipeline 已更新,旨在缓解 CVE-2021-44228 和 CVE-2021-45046 中发现的问题。

AWS CodeBuild

AWS CodeBuild 已更新,旨在缓解 CVE-2021-44228 和 CVE-2021-45046 中发现的问题。

Amazon Route53


Route 53 已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon Linux


默认情况下,Amazon Linux 1 (AL1) 和 Amazon Linux 2 (AL2) 使用不受 CVE-2021-44228 或 CVE-2021-45046 影响的 log4j 版本。作为 AL2 一部分的新版 Amazon Kinesis Agent 可解决 CVE-2021-44228 和 CVE-2021-45046 问题。此外,为了帮助引入自有 log4j 代码的客户,Amazon Linux 发布了一个新包,其中包括适用于 Apache log4j 的热补丁。单击此处以了解更多详细信息。

Amazon SageMaker

Amazon SageMaker 于 2021 年 12 月 15 日完成了对 Apache Log4j2 问题 (CVE-2021-44228) 的修补。

我们继续建议客户采取行动,通过修补此类已知问题来更新他们的所有应用程序和服务。获得上述建议的客户已通过 PHD 收到了详细说明。即使您不受 Log4j 问题影响,我们也建议您重新启动任务或更新您的应用程序以使用我们软件的最新版本。

Amazon Athena

Amazon Athena 已更新,旨在缓解 CVE-2021-44228 中发现的问题。出售给客户的所有版本的 Amazon Athena JDBC 驱动程序均不受此问题影响。

AWS Certificate Manager

AWS Certificate Manager 服务已更新,旨在缓解 CVE-2021-44228 中发现的问题。

ACM Private CA 服务已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon AppFlow

Amazon AppFlow 已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon Polly

Amazon Polly 已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon QuickSight

Amazon QuickSight 已更新,旨在缓解 CVE-2021-44228 中发现的问题。

AWS Textract

AWS Textract 服务已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon Corretto

10 月 19 日发布的最新 Amazon Corretto 不受 CVE-2021-44228 影响,因为 Corretto 发行版不包含 Log4j。我们建议客户在所有使用 Log4j 的应用程序中更新到最新版本的 Log4j,包括直接依赖项、间接依赖项和着色 jar。
 

AWS 注意到最近披露的与开源 Apache“Log4j2”实用工具相关的安全问题 (CVE-2021-44228)。

对此类安全问题的响应体现了拥有多层防御技术的价值,这对于维护客户数据和工作负载的安全非常重要。我们非常重视这个问题,并且我们世界一流的工程师团队一直在夜以继日地进行响应和修复。我们希望迅速恢复深度防御的完整状态。

我们开发和部署的技术之一是针对可能包括 Log4j 的应用程序的热补丁。我们还将其作为开源解决方案提供,可在此处获得。

即使部署了这个热补丁,客户仍然应该安排尽快安全部署更新的 Log4j 库。

下面提供了其他特定于服务的信息。如果您需要更多详细信息或帮助,请联系 AWS Support。

Amazon Kinesis

此处提供了 Kinesis Agent 的新版本,该版本可解决最近披露的 Apache Log4j2 库问题 (CVE-2021-44228)。

Amazon Inspector

Amazon Inspector 服务针对 Log4j 问题进行了修补。

Inspector 服务可帮助检测客户 EC2 工作负载和 ECR 映像中的 CVE-2021-44228 (Log4Shell) 问题。检测目前适用于 Linux 上受影响的操作系统级别的包。其中包括但不限于 Debian 的 apache-log4j2 和 liblog4j2-java;SUSE 的 log4j、log4jmanual 和 log4j12;以及 Elasticsearch for Alpine、Centos、Debian、Red Hat、SUSE 和 Ubuntu。随着各个分销安全团队发现更多影响,将添加其他检测。Inspector 可分解存储在 ECR 映像中的 Java 档案,并针对受影响的包或应用程序生成检查结果。这些检查结果将在 Inspector 控制台下的“CVE-2021-44228”或“IN1-JAVA-ORGAPACHELOGGINGLOG4J-2314720 - org.apache.logging.log4j:log4j-core”中标识。

Amazon Inspector Classic

Amazon Inspector 服务针对 Log4j 问题进行了修补。

Inspector Classic 服务可帮助检测客户 EC2 工作负载中的 CVE-2021-44228 (Log4Shell) 问题。对 CVE-2021-44228 (Log4Shell) 的检测目前适用于 Linux 上受影响的操作系统级别的包。其中包括但不限于 Debian 的 apache-log4j2 和 liblog4j2-java;SUSE 的 log4j、log4jmanual 和 log4j12;以及 Elasticsearch for Alpine、Centos、Debian、Red Hat、SUSE 和 Ubuntu。

Amazon WorkSpaces/AppStream 2.0

默认配置下,Amazon WorkSpaces 和 AppStream 2.0 不受 CVE-2021-44228 影响。WorkSpaces 和 AppStream 的默认 Amazon Linux 2 映像不包含 Log4j,Amazon Linux 2 默认包存储库中提供的 Log4j 版本不受 CVE-2021-44228 影响。但是,如果您已将 WorkDocs Sync 客户端部署到 Windows WorkSpaces,请执行以下建议操作。

Windows WorkSpaces 默认未安装 WorkDocs Sync。但是,在 2021 年 6 月之前,WorkSpaces 有一个指向 WorkDocs Sync 客户端安装程序的默认桌面快捷方式。WorkDocs Sync 客户端版本 1.2.895.1(及更早版本)包含 Log4j 组件。如果您已将早期的 WorkDocs Sync 客户端版本部署到 WorkSpaces,请通过 SCCM 等管理工具重新启动 WorkSpaces 上的 Sync 客户端,或指示您的 WorkSpaces 用户从已安装程序列表中手动打开同步客户端 -“Amazon WorkDocs”。Sync 客户端启动后会自动更新为不受 CVE-2021-44228 影响的最新版本 1.2.905.1。Workdocs Drive 和 Workdocs Companion 应用程序不受此问题影响。

Amazon Timestream

Amazon Timestream 已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon DocumentDB

自 2021 年 12 月 13 日起,Amazon DocumentDB 已修补以缓解 CVE-2021-44228 中提及的 Log4j 问题。

Amazon CloudWatch

Amazon CloudWatch 服务已更新,旨在缓解 CVE-2021-44228 中发现的问题。

AWS Secrets Manager

AWS Secrets Manager 服务已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon Single Sign-On

Amazon Single Sign-On 服务已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon RDS Oracle

Amazon RDS Oracle 已更新服务中使用的 Log4j2 版本。对 RDS 实例的访问继续受您的 VPC 和其他安全控制措施(例如安全组和网络访问控制列表 (ACL))的限制。我们强烈建议您查看这些设置,以确保对您的 RDS 实例进行适当的访问管理。

根据 Oracle 支持文档 2827611.1,Oracle 数据库本身不受此问题影响。

Amazon Cloud Directory

Amazon Cloud Directory 已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon Simple Queue Service (SQS)

Amazon Simple Queue Service (SQS) 于 2021 年 12 月 13 日完成了针对 SQS 数据入口和出口的 Apache Log4j2 问题 (CVE-2021-44228) 的修补。此外,我们也已完成对所有其它使用 Log4j2 的 SQS 系统的修补。

AWS KMS

AWS KMS 已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon Redshift

Amazon Redshift 集群已自动更新以缓解 CVE-2021-44228 中发现的问题。

AWS Lambda

AWS Lambda 的托管式运行时或基础容器映像中不包含 Log4j2。因此,它们不受 CVE-2021-44228 和 CVE-2021-45046 中描述的问题影响。

对于客户函数包含受影响的 Log4j2 版本的情况,我们对 Lambda Java 托管的运行时基本容器映像(Java 8、AL2 上的 Java 8 和 Java 11)应用了更改,这有助于缓解 CVE-2021-44228 和 CVE-2021-45046 中的问题。使用托管式运行时的客户将自动应用更改。使用容器映像的客户需要从最新的基础容器映像重建,然后重新部署。

无论是否应用此更改,我们都强烈建议所有函数包括 Log4j2 的客户更新到最新版本。具体而言,如果客户在其函数中使用了 aws-lambda-java-log4j2 ,则应更新至版本 1.4.0 并重新部署其函数。此版本会将基础 Log4j2 实用工具依赖项更新至版本 2.16.0。更新后的 aws-lambda-java-log4j2 二进制文件可在 Maven 存储库中获得,其源代码可在 Github 中获得。

AWS 注意到最近披露的与开源 Apache“Log4j2”实用工具相关的安全问题 (CVE-2021-44228)。

对此类安全问题的响应体现了拥有多层防御技术的价值,这对于维护客户数据和工作负载的安全非常重要。我们非常重视这个问题,并且我们世界一流的工程师团队一直在夜以继日地进行响应和修复。我们希望迅速恢复深度防御的完整状态。

我们继续建议客户采取行动,通过修补此类已知问题来更新他们的所有应用程序和服务,并继续遵循我们精心设计的指南。

下面提供了其他特定于服务的信息。如果您需要更多详细信息或帮助,请联系 AWS Support。

Amazon API Gateway

自 2021 年 12 月 13 日起,所有 Amazon API Gateway 主机均已修补以缓解 CVE-2021-44228 中提及的 Log4j 问题。

Amazon CloudFront

Amazon CloudFront 服务已更新,旨在缓解 CVE-2021-44228 中发现的问题。在我们的 POP 中运行的 CloudFront 请求处理服务并非使用 Java 编写,因此不受此问题影响。

Amazon Connect

Amazon Connect 服务已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon DynamoDB

Amazon DynamoDB 和 Amazon DynamoDB Accelerator (DAX) 已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon EC2

Amazon Linux 1 和 Amazon Linux 2 存储库中提供的 Log4j 版本不受 CVE-2021-44228 影响。有关 Amazon Linux 的与安全相关的软件更新的更多信息,请访问 Amazon Linux 安全中心

Amazon ElastiCache

Amazon ElastiCache 的 Redis 引擎的托管式运行时或基础容器映像中不包含 Log4j2。Amazon ElastiCache 于 2021 年 12 月 12 日完成了对 Apache Log4j2 问题 (CVE-2021-44228) 的修补。

Amazon EMR

处理来自不受信任来源的输入时,CVE-2021-44228 会影响版本 2.0 至 2.14.1 之间的 Apache Log4j。使用 EMR 5 和 EMR 6 版本启动的 EMR 集群提供了开源框架(例如 Apache Hive、Apache Flink、HUDI、Presto 和 Trino),它们使用上述版本的 Apache Log4j。使用 EMR 的默认配置启动集群时,它不会处理来自不受信任来源的输入。

我们正在积极开发更新,缓解 CVE-2021-44228 中讨论的问题,即基于来自不可信来源的 EMR 集群处理信息安装开源框架时出现的问题。

AWS IoT SiteWise Edge

所有使用 Log4j 的 AWS IoT SiteWise Edge 组件的更新于 2021 年 12 月 13 日可供部署。这些组件是:OPC-UA 收集器 (v2.0.3)、数据处理包 (v2.0.14) 和发布器 (v2.0.2)。AWS 建议使用这些组件的客户为他们的 SiteWise Edge 网关部署最新版本。

Amazon Keyspaces(适用于 Apache Cassandra)

Amazon Keyspaces(适用于 Apache Cassandra)已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon Kinesis Data Analytics

Amazon Kinesis Data Analytics 支持的 Apache Flink 版本包含 Apache Log4j 版本 2.0 到 2.14.1。Kinesis Data Analytics 应用程序在单一租户的隔离环境中运行,不能彼此交互。

我们正在更新所有 AWS 区域中 Kinesis Data Analytics 客户应用程序可用的 Log4j 版本。2021 年 12 月 12 日下午 6:30(太平洋标准时间)之后启动或更新的应用程序将自动收到更新补丁。在此之前启动或更新应用程序的客户可以调用 Kinesis Data Analytics UpdateApplication API,确保他们的应用程序基于更新版本的 Log4j 运行。服务文档中提供了有关 UpdateApplication API 的更多信息。

Amazon Kinesis Data Streams

我们正在通过应用更新来积极修补所有使用 Log4j2 的子系统。Kinesis Client Library (KCL) 2.X 版和 Kinesis Producer Library (KPL) 不受影响。对于使用 KCL 1.x 的客户,我们已发布更新版本,我们强烈建议所有 KCL 1.x 版客户升级到此处提供的 KCL 1.14.5 版(或更高版本)。

Amazon Managed Streaming for Apache Kafka (MSK)

我们注意到最近披露的与 Apache Log4j2 库相关的问题 (CVE-2021-44228),并正在根据需要进行更新。请注意,MSK 中提供的 Apache Kafka 和 Apache Zookeeper 版本目前使用的是 Log4j 1.2.17,不受此问题影响。某些特定于 MSK 的服务组件使用 Log4j > 2.0.0 库,并且正在根据需要进行修补。

Amazon Managed Workflows for Apache Airflow (MWAA)

对于最近披露的与 Apache Log4j2 库相关的问题 (CVE-2021-44228),MWAA 有两个需要注意的方面:Amazon MWAA 服务代码(AWS 专用)和开源代码 (Apache Airflow)。

截至 2021 年 12 月 14 日,我们已完成对 MWAA 服务代码的所有必要更新,以解决该问题。Apache Airflow 不使用 Log4j2,不受此问题影响。

我们强烈建议已将 Log4j2 添加到其环境的客户更新到最新版本。

Amazon MemoryDB for Redis

Amazon MemoryDB for Redis 于 2021 年 12 月 12 日完成了对 Apache Log4j2 问题 (CVE-2021-44228) 的修补。

Amazon MQ

对于最近披露的与 Apache Log4j2 库相关的问题(CVE-2021-44228),Amazon MQ 有两个需要注意的方面:Amazon MQ 服务代码(AWS 专用)和开源代码(Apache ActiveMQ 和 RabbitMQ 消息代理)。

截至 2021 年 12 月 13 日,我们已完成对 Amazon MQ 服务代码的所有必要更新,以解决该问题。
开源消息代理无需更新。Amazon MQ 中提供的所有 Apache ActiveMQ 版本均使用 Log4j 版本 1.2.x,该版本不受此问题的影响。RabbitMQ 不使用 Log4j,不受此问题影响。

Amazon Neptune

所有活动的 Amazon Neptune 集群均已自动更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon OpenSearch Service

Amazon OpenSearch Service 已发布关键服务软件更新 R20211203-P2,其中包含所有区域的 Log4j2 更新版本。我们强烈建议客户尽快将其 OpenSearch 集群更新到此版本。

Amazon RDS

Amazon RDS 和 Amazon Aurora 正在应用更新,旨在积极解决 Log4j2 的所有服务使用问题。RDS 构建的关系数据库引擎不包含 Apache Log4j2 库。对于涉及上游供应商的问题,我们正在应用他们推荐的缓解措施。在内部组件更新期间,客户可能会发现间歇性事件。

Amazon S3

Amazon S3 于 2021 年 12 月 11 日完成了针对 S3 数据入口和出口的 Apache Log4j2 问题 (CVE-2021-44228) 的修补。此外,我们也已完成对所有其它使用 Log4j2 的 S3 系统的修补。

Amazon Simple Notification Service (SNS)

针对为客户提供流量提供服务的 Amazon SNS 系统的 Log4j2 问题进行了修补。对于那些与为客户提供流量服务的 SNS 系统分开运行的子系统,我们正致力于对它们应用 Log4j2 补丁。

Amazon Simple Workflow Service (SWF)

Amazon Simple Workflow Service (SWF) 已更新,旨在缓解 CVE-2021-44228 中发现的问题。

AWS CloudHSM

低于 3.4.1 的 AWS CloudHSM JCE SDK 版本中集成了受此问题影响的 Apache Log4j 版本。2021 年 12 月 10 日,CloudHSM 发布了集成 Apache Log4j 固定版本的 JCE SDK v3.4.1。如果您使用低于 3.4.1 的 CloudHSM JCE 版本,可能会受到影响,应该将 CloudHSM JCE SDK 升级至版本 3.4.1 或更高版本来缓解该问题。

AWS Elastic Beanstalk

AWS Elastic Beanstalk 在其适用于 Amazon Linux 1 和 Amazon Linux 2 的 Tomcat 平台中,从 Amazon Linux 默认程序包存储库安装 Log4j。Amazon Linux 1 和 Amazon Linux 2 存储库中提供的 Log4j 版本不受 CVE-2021-44228 影响。

如果您对应用程序的 Log4j 使用情况进行了配置更改,那么我们建议您更新应用程序的代码来缓解此问题。

按照常规实践,在这些默认程序包存储库版本的补丁版本发布后,Elastic Beanstalk 将在下一个适用于 Amazon Linux 1 和 Amazon Linux 2 的 Tomcat 平台版本中提供这些补丁版本。

有关 Amazon Linux 的与安全相关的软件更新的更多信息,请访问 Amazon Linux 安全中心

AWS Glue

AWS Glue 注意到最近披露的与开源 Apache “Log4j2” 实用工具相关的安全问题(CVE-2021-44228)。我们更新了控制面板机群,这些机群为所有受支持的 Glue 版本提供 AWS Glue API。

AWS Glue 创建了一个新的 Spark 环境,该环境在网络和管理级别与 AWS Glue 服务账户内的所有其他 Spark 环境隔离。您的 ETL 任务基于单一租户环境执行。如果您上传了用于 ETL 作业或开发端点的自定义 jar 文件,并且其中包含特定版本的 Apache Log4j,则建议您更新 jar 以使用最新版本的 Apache Log4j。

AWS Glue 还会主动将更新应用于所有受支持区域的新 Spark 环境。如果您有任何疑问或需要其它帮助,请联系 AWS Support。

AWS Greengrass

自 2021 年 12 月 10 日起,所有使用 Log4j 的 AWS Greengrass V2 组件更新均可供部署。这些组件包括 Stream Manager (2.0.14) 和 Secure Tunneling (1.0.6)。AWS 建议使用这些 Greengrass 组件的客户为设备部署最新版本。

Greengrass 版本 1.10.x 和 1.11.x 的 Stream Manager 功能使用 Log4j。Greengrass 补丁版本 1.10.5 和 1.11.5 中提供了 Stream Manager 功能的更新,这两个版本均于 2021 年 12 月 12 日发布。我们强烈建议使用 1.10.x 和 1.11.x 版本且在其设备上启用了 Stream Manager(或可能在以后启用)的客户将设备更新至最新版本。

AWS Lake Formation

AWS Lake Formation 服务主机正在更新至最新版本的 Log4j,以解决 CVE-2021-44228 中提及的版本问题。

AWS Lambda

AWS Lambda 的托管式运行时或基础容器映像中不包含 Log4j2。因此,它们不受 CVE-2021-44228 中描述的问题影响。如果客户在函数中使用了 aws-lambda-java-log4j2 库,则需更新至版本 1.3.0 并重新部署。

AWS SDK

适用于 Java 的 AWS SDK 使用 Logging Facade,且 Log4j 无运行时依赖关系。我们目前认为不需要针对此问题对适用于 Java 的 AWS SDK 进行任何更改。

AWS Step Functions

AWS Step Functions 已更新,旨在缓解 CVE-2021-44228 中发现的问题。

AWS Web 应用程序防火墙 (WAF)

为了改进与最新的 Log4j 安全问题相关的检测和缓解措施,CloudFront、Application Load Balancer (ALB)、API Gateway 和 AppSync 的客户可以选择启用 AWS WAF 并应用两个 AWS 托管规则 (AMR):AWSManagedRulesKnownBadInputsRuleSet 和 AWSManagedRulesAnonymousIpList。

AWSManagedRulesKnownBadInputsRuleSet 会检查请求 uri、正文和常用标头,AWSManagedRulesAnonymousIpList 则有助于阻止来自允许混淆查看者身份的服务的请求。您可以通过创建 AWS WAF Web ACL,将一个或两个规则集添加到您的 Web ACL,然后将 Web ACL 与您的 CloudFront 分配、ALB、API Gateway 或 AppSync GraphQL API 相关联来应用这些规则。

随着了解的深入,我们将继续迭代 AWSManagedRulesKnownBadInputsRuleSet 规则组。要接收 AWSManagedRulesKnownBadInputsRuleSet 的自动更新,请选择默认版本。对于使用 AWS WAF Classic 的客户,您需要迁移到 AWS WAF 或创建自定义正则表达式匹配条件。客户可以使用 AWS Firewall Manager,它使您能够从一个位置跨多个 AWS 账户和资源配置 AWS WAF 规则。您可以在整个基础设施中组合规则、创建策略,并集中地应用这些策略。

NICE

由于 2020.0 到 2021.0-r1307 版本的 EnginFrame 包含 Apache Log4j 库中的 CVE,NICE 建议您升级到最新的 EnginFrame 版本,或者按照支持网站上的说明更新您的 EnginFrame 安装中的 Log4j 库。

欢迎随时联系我们

AWS 注意到最近披露的与开源 Apache“Log4j2”实用工具相关的安全问题 (CVE-2021-44228)。我们正在积极监控此问题,并正努力为任何使用 Log4j2 或在其服务中为客户提供了 Log4j2 的 AWS 服务解决该问题。

我们强烈建议管理包含 Log4j2 的环境的客户更新至最新版本,或使用其操作系统的软件更新机制。以下是其他特定于服务的信息。

如果您需要更多详细信息或帮助,请联系 AWS Support。

S3

S3 于 2021 年 12 月 11 日完成了针对 S3 数据入口和出口的 Apache Log4j2 问题(CVE-2021-44228)的修补。此外,我们也已完成所有其它使用 Log4j2 的 S3 系统的修补。

Amazon OpenSearch

Amazon OpenSearch Service 正在部署服务软件更新(版本 R20211203-P2),其中包含 Log4j2 的更新版本。我们将在客户所在区域推出更新时通知客户,并将在全球范围内推出后更新此公告。

AWS Lambda

AWS Lambda 的托管式运行时或基础容器映像中不包含 Log4j2。因此,它们不受 CVE-2021-44228 中描述的问题影响。如果客户在函数中使用了 aws-lambda-java-log4j2 library,则需更新至版本 1.3.0 并重新部署。

AWS CloudHSM

低于 3.4.1 的 CloudHSM JCE SDK 版本中集成了受此问题影响的 Apache Log4j 版本。2021 年 12 月 10 日,CloudHSM 发布了集成 Apache Log4j 固定版本的 JCE SDK v3.4.1。如果您使用低于 3.4.1 的 CloudHSM JCE 版本,可能会受到影响,应该将 CloudHSM JCE SDK 升级至版本 3.4.1 或更高版本来缓解该问题。

Amazon EC2

Amazon Linux 1 和 Amazon Linux 2 存储库中提供的 Log4j 版本不受 CVE-2021-44228 影响。有关 Amazon Linux 的与安全相关的软件更新的更多信息,请访问 Amazon Linux 安全中心。 

API Gateway

我们正在将 API Gateway 更新为使用可缓解该问题的 Log4j2 版本。在这些更新期间,您可能会发现某些 API 的周期性延迟有所增加。

AWS Greengrass

自 2021 年 12 月 10 日起,所有使用 Log4j 的 Greengrass V2 组件更新均可供部署。这些组件包含:Stream Manager(2.0.14)和 Secure Tunneling(1.0.6)。AWS 建议使用这些 Greengrass 组件的客户为设备部署最新版本。

Greengrass 版本 1.10.x 和 1.11.x 的 Stream Manager 功能使用 Log4j。Greengrass 补丁版本 1.10.5 和 1.11.5 中提供了 Stream Manager 功能的更新,这两个版本均于 2021 年 12 月 12 日发布。我们强烈建议使用 1.10.x 和 1.11.x 版本且在其设备上启用了 Stream Manager(或可能在以后启用)的客户将设备更新至最新版本。

CloudFront

CloudFront 服务已更新,旨在缓解 CVE-2021-44228 中发现的问题。在我们的 POP 中运行的 CloudFront 请求处理服务并非使用 Java 编写,因此不受此问题的影响。

Elastic Beanstalk

AWS Elastic Beanstalk 在其适用于 Amazon Linux 1 和 Amazon Linux 2 的 Tomcat 平台中从 Amazon Linux 默认程序包存储库安装 Log4j。Amazon Linux 1 和 Amazon Linux 2 存储库中提供的 Log4j 版本不受 CVE-2021-44228 影响。

如果您对应用程序的 Log4j 使用情况进行了配置更改,那么我们建议您更新应用程序的代码来缓解此问题。

按照常规实践,在这些默认程序包存储库版本的补丁版本发布后,Elastic Beanstalk 将在下一个适用于 Amazon Linux 1 和 Amazon Linux 2 的 Tomcat 平台版本中提供这些补丁版本。

 有关 Amazon Linux 的与安全相关的软件更新的更多信息,请访问 Amazon Linux 安全中心。 

EMR

处理来自不受信任来源的输入时,CVE-2021-44228 会影响版本 2.0 至 2.14.1 之间的 Apache Log4j。使用 EMR 5 和 EMR 6 版本启动的 EMR 集群提供了开源框架(例如 Apache Hive、Flink、HUDI、Presto 和 Trino),它们使用上述版本的 Apache Log4j。使用 EMR 的默认配置启动集群时,它不会处理来自不受信任来源的输入。

我们正在积极开发更新,缓解 CVE-2021-44228 中讨论的问题,即基于来自不可信来源的 EMR 集群处理信息安装开源框架时出现的问题。

Lake Formation

Lake Formation 服务主机正在积极更新至最新版本的 Log4j,以解决 CVE-2021-44228 中提及的版本安全问题。

AWS SDK

适用于 Java 的 AWS SDK 使用 Logging Facade,且 log4j 无运行时依赖关系。我们目前认为不需要针对此问题对适用于 Java 的 AWS SDK 进行任何更改。

AMS

我们正在积极监控此问题,并正努力为使用 Log4j2 的任何 AMS 服务解决该问题。我们强烈建议管理包含 Log4j2 的环境的客户更新至最新版本,或使用其操作系统的软件更新机制。

Amazon Neptune

Amazon Neptune 将 Apache Log4j2 库作为外围组件提供,但认为该问题不会影响 Neptune 用户。出于谨慎考虑,会对 Neptune 集群进行自动更新,以使用没有问题的 Log4j2 版本。在更新期间,客户可能会发现间歇性事件。

NICE

由于 2020.0 到 2021.0-r1307 版本的 EnginFrame 包含 Apache Log4j 库中的 CVE,NICE 建议您升级到 EnginFrame 的最新版本,或者按照支持网站上的说明更新您的 EnginFrame 安装中的 Log4j 库。

欢迎随时联系我们

Kafka

Managed Streaming for Apache Kafka 注意到最近披露的与 Apache Log4j2 库相关的问题(CVE-2021-44228),并正在根据需要进行更新。请注意,MSK 中提供的 Apache Kafka 和 Apache Zookeeper 版本目前使用的是 Log4j 1.2.17,不受此问题影响。某些特定于 MSK 的服务组件使用 log4j > 2.0.0 库,并正在根据需要进行修补。

AWS Glue

AWS Glue 注意到最近披露的与开源 Apache “Log4j2” 实用工具相关的安全问题(CVE-2021-44228)。我们更新了控制面板机群,这些机群为所有受支持的 Glue 版本提供 AWS Glue API。

​AWS Glue 创建了一个新的 Spark 环境,该环境在网络和管理级别与 AWS Glue 服务账户内的所有其他 Spark 环境隔离。您的 ETL 任务基于单一租户环境执行。如果您的 ETL 任务加载了特定版本的 Apache Log4j,建议您更新脚本,以使用最新版本的 Apache Log4j。如果您使用 AWS Glue 开发终端节点来编写脚本,建议您也对其中使用的 Log4j 版本进行更新。

​AWS Glue 还主动将更新应用于所有受支持区域的新 Spark 环境中。如果您有任何疑问或需要其它帮助,请通过 AWS Support 与我们联系。

RDS

Amazon RDS 和 Amazon Aurora 正在应用更新,旨在积极解决 Log4j2 的所有服务使用问题。RDS 构建的关系数据库引擎不包含 Apache Log4j 库。对于涉及上游供应商的问题,我们正在应用他们推荐的缓解措施。在内部组件更新期间,客户可能会发现间歇性事件。

Amazon Connect

Amazon Connect 服务已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon DynamoDB 

Amazon DynamoDB 和 Amazon DynamoDB Accelerator(DAX)已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon Keyspaces (for Apache Cassandra)

Amazon Keyspaces(for Apache Cassandra)已更新,旨在缓解 CVE-2021-44228 中发现的问题。

Amazon MQ

对于最近披露的与 Apache Log4j2 库相关的问题(CVE-2021-44228),Amazon MQ 有两个需要注意的方面:Amazon MQ 服务代码(AWS 专用)和开源代码(Apache ActiveMQ 和 RabbitMQ 消息代理)。

截至 2021 年 12 月 13 日,我们已完成对 Amazon MQ 服务代码的所有必要更新,以解决该问题。

开源消息代理无需更新。Amazon MQ 中提供的所有 Apache ActiveMQ 版本均使用 Log4j 版本 1.2.x,该版本不受此问题的影响。RabbitMQ 不使用 Log4j,不受此问题的影响。

Kinesis Data Analytics

Kinesis Data Analytics 支持的 Apache Flink 版本集成了 Apache Log4j 版本 2.0 到 2.14.1。Kinesis Data Analytics 应用程序以单一租户的隔离环境运行,不能彼此交互。

我们正在更新所有 AWS 区域中 Kinesis Data Analytics 客户应用程序可用的 Log4j 版本。2021 年 12 月 12 日下午 6:30(太平洋标准时间)之后启动或更新的应用程序将自动收到更新补丁。在此之前启动或更新应用程序的客户可以调用 Kinesis Data Analytics UpdateApplication API,确保他们的应用程序基于更新版本的 Log4j 运行。请参阅关于 UpdateApplication API 的更多信息

AWS 注意到最近披露的与开源 Apache“Log4j2”实用工具相关的安全问题 (CVE-2021-44228)。我们正在积极监控此问题,并正努力为任何使用 Log4j2 或在其服务中为客户提供了 Log4j2 的 AWS 服务解决该问题。

我们强烈建议管理包含 Log4j2 的环境的客户更新至最新版本,或使用其操作系统的软件更新机制。

根据报告,基于 8u121 或 8u191 之后的 JDK(包括 JDK 11 和更高版本)使用 Log4j2 可以缓解该问题,但这只是部分缓解。唯一的综合解决方案是将 Log4j2 升级到 2.15,而高于 2.15 的 Log4j2 版本应该会受到影响,不管使用的 JDK 分发版或版本如何。

以下是其他特定于服务的信息。

如果您需要更多详细信息或帮助,请联系 AWS Support。

API Gateway

我们正在将 API Gateway 更新为使用可缓解该问题的 Log4j2 版本。在这些更新期间,您可能会发现某些 API 的周期性延迟有所增加。

AWS Greengrass

自 2021 年 12 月 10 日起,所有使用 Apache Log4j2 的 Greengrass V2 组件更新均可供部署。这些组件包含:Stream Manager(2.0.14)和 Secure Tunneling(1.0.6)。AWS 建议使用这些 Greengrass 组件的客户为设备部署最新版本。

针对 Greengrass 版本 1.10 和 1.11 的更新预计将于 2021 年 12 月 17 日发布。如果客户在这些设备上使用 Stream Manager,则建议他们在这些版本的 Greengrass 二进制文件发布后立即更新他们的设备。同时,客户应该确认,基于 Greengrass 1.10 或 1.11 使用 Stream Manager 的自定义 Lambda 代码没有使用客户控制范围之外的任意流名称和文件名称(对于 S3 Exporter),例如包含文本 “${” 的流名称或文件名称。

Amazon MQ

对于最近披露的与 Apache Log4j2 库相关的问题(CVE-2021-44228),Amazon MQ 有两个需要注意的方面:Amazon MQ 服务代码(AWS 专用)和开源代码(Apache ActiveMQ 和 RabbitMQ 消息代理)。

我们正在对 Amazon MQ 服务代码实施必要的更新,以解决该问题。

开源消息代理无需更新。Amazon MQ 中提供的所有 Apache ActiveMQ 版本均使用 Log4j 版本 1.x,该版本不受此问题的影响。RabbitMQ 不使用 Log4j2,不受此问题影响。

CloudFront

CloudFront 服务已更新,旨在缓解 CVE-2021-44228 中发现的问题。在我们的 POP 中运行的 CloudFront 请求处理服务并非使用 Java 编写,因此不受此问题的影响。

AWS Elastic Beanstalk

AWS Elastic Beanstalk 在其适用于 Amazon Linux 1 和 Amazon Linux 2 的 Tomcat 平台中从 Amazon Linux 默认程序包存储库安装 Log4j。 Amazon Linux 1 和 Amazon Linux 2 存储库中提供的 Log4j 版本不受 CVE-2021-44228 影响。

如果您对应用程序的 Log4j 使用情况进行了配置更改,那么我们建议您更新应用程序的代码来缓解此问题。

按照常规实践,在这些默认程序包存储库版本的补丁版本发布后,Elastic Beanstalk 将在下一个适用于 Amazon Linux 1 和 Amazon Linux 2 的 Tomcat 平台版本中提供这些补丁版本。

有关 Amazon Linux 的与安全相关的软件更新的更多信息,请访问 Amazon Linux 安全中心

EMR

处理来自不受信任来源的输入时,CVE-2021-44228 会影响版本 2.0 至 2.14.1 之间的 Apache Log4j。使用 EMR 5 和 EMR 6 版本启动的 EMR 集群提供了开源框架(例如 Apache Hive、Flink、HUDI、Presto 和 Trino),它们使用上述版本的 Apache Log4j。使用 EMR 的默认配置启动集群时,它不会处理来自不受信任来源的输入。

我们正在积极开发更新,缓解 CVE-2021-44228 中讨论的问题,即基于来自不可信来源的 EMR 集群处理信息安装开源框架时出现的问题。

Lake Formation

Lake Formation 服务主机正在积极更新至最新版本的 Log4j,以解决 CVE-2021-44228 中提及的版本问题。

S3

S3 的数据入口和出口已经针对 Log4j2 问题得到修补。我们致力于将 Log4j2 补丁应用于 S3 系统,这些系统与 S3 的数据入口和出口分开运行。

AWS SDK

适用于 Java 的 AWS SDK 使用 Logging Facade,且 Log4j 无运行时依赖关系。我们目前认为不需要针对此问题对适用于 Java 的 AWS SDK 进行任何更改。

AMS

我们正在积极监控此问题,并努力为使用 Log4j2 的 AMS 服务解决该问题。我们强烈建议管理包含 Log4j2 的环境的客户更新至最新版本,或使用其操作系统的软件更新机制。

AMS 建议,为所有可访问互联网的应用程序端点部署 Web 应用程序防火墙(WAF)。您可以配置 AWS WAF 服务,部署 AWSManagedRulesAnonymousIpList 规则集(包括用于阻止 TOR 节点之类的匿名客户端信息来源的规则)和 AWSManagedRulesKnownBadInputsRuleSet 规则集(用于检查 URI、请求体和常用标头,帮助阻止与 Log4j 和其他问题相关的请求),针对此问题提供额外防御。

AMS 将继续监控此问题,并且提供可用的额外详细信息和建议。

Amazon Neptune

Amazon Neptune 将 Apache Log4j2 库作为外围组件提供,但认为该问题不会影响 Neptune 用户。出于谨慎考虑,会对 Neptune 集群进行自动更新,以使用没有问题的 Log4j2 版本。在更新期间,客户可能会发现间歇性事件。

NICE

由于 2020.0 到 2021.0-r1307 版本的 EnginFrame 包含 Apache Log4j 库中的 CVE,NICE 建议您升级到新版本 EnginFrame,或者按照支持网站上的说明更新您的 EnginFrame 安装中的 Log4j 库。

欢迎随时联系我们

Kafka

Managed Streaming for Apache Kafka 注意到最近披露的与 Apache Log4j2 库相关的问题(CVE-2021-44228),并正在根据需要进行更新。请注意,MSK 中提供的 Apache Kafka 和 Apache Zookeeper 版本目前使用的是 Log4j 1.2.17,不受此问题影响。某些特定于 MSK 的服务组件使用 Log4j > 2.0.0 库,并正在根据需要进行修补。

AWS Glue

AWS Glue 注意到最近披露的与开源 Apache “Log4j2” 实用工具相关的安全问题(CVE-2021-44228)。我们更新了控制面板机群,这些机群为所有受支持的 Glue 版本提供 AWS Glue API。

AWS Glue 创建了一个新的 Spark 环境,该环境在网络和管理级别与 AWS Glue 服务账户内的所有其他 Spark 环境隔离。您的 ETL 任务基于单一租户环境执行。如果您的 ETL 任务加载了特定版本的 Apache Log4j,建议您更新脚本,以使用最新版本的 Apache Log4j。如果您使用 AWS Glue 开发终端节点来编写脚本,建议您也对其中使用的 Log4j 版本进行更新。

AWS Glue 还主动将更新应用于所有受支持区域的新 Spark 环境中。如果您有任何疑问或需要其它帮助,请通过 AWS Support 与我们联系。

RDS

Amazon RDS 和 Amazon Aurora 正在应用更新,旨在积极解决 Log4j2 的所有服务使用问题。RDS 构建的关系数据库引擎不包含 Apache Log4j 库。对于涉及上游供应商的问题,我们正在应用他们推荐的缓解措施。在内部组件更新期间,客户可能会发现间歇性事件。

OpenSearch

Amazon OpenSearch Service 正在部署服务软件更新(版本 R20211203-P2),其中包含 Log4j2 的更新版本。我们将在客户所在区域推出更新时通知客户,并将在全球范围内推出后更新此公告。