Data di pubblicazione iniziale: 10/12/2021 19:20 PDT

Tutti gli aggiornamenti a questo problema sono stati spostati qui.

AWS è a conoscenza del problema di sicurezza recentemente divulgato relativo all'utility open source Apache "Log4j2" (CVE-2021-44228). Stiamo monitorando attivamente questo problema e stiamo lavorando per risolverlo in tutti i servizi AWS che utilizzano Log4j2 o lo forniscono ai clienti come parte del loro servizio.

Incoraggiamo vivamente i clienti che gestiscono ambienti contenenti Log4j2 a passare all'ultima versione, disponibile sul sito all'indirizzo: https://logging.apache.org/log4j/2.x/download.html o tramite il meccanismo di aggiornamento del software del loro sistema operativo. Di seguito sono riportate ulteriori informazioni specifiche del servizio.

Per maggiori dettagli o se hai bisogno di assistenza, contatta AWS Support.

Amazon EC2

Le versioni Log4j disponibili nei repository Amazon Linux 1 e Amazon Linux 2 non sono interessate dal problema CVE-2021-44228. Ulteriori informazioni sugli aggiornamenti software relativi alla sicurezza per Amazon Linux sono disponibili sul sito all'indirizzo: https://alas.aws.amazon.com.

AWS WAF/Shield

Per migliorare il rilevamento e la mitigazione dei rischi derivanti dal recente problema di sicurezza di Log4j, abbiamo aggiornato l'AMR AWSManagedRulesKnownBadInputsRuleSet nel servizio AWS WAF. I clienti di CloudFront, Application Load Balancer (ALB), API Gateway e AppSync possono sfruttare immediatamente questa opzione di mitigazione, che ispeziona URI, corpo della richiesta e intestazioni comunemente utilizzate per aggiungere un ulteriore livello di difesa, creando un'ACL Web di AWS WAF, aggiungendo AWSManagedRulesKnownBadInputsRuleSet all'ACL Web e associando quindi l'ACL alla distribuzione CloudFront, ALB, API Gateway o alle API AppSync GraphQL.

Ulteriori informazioni su come iniziare a utilizzare AWS WAF sono disponibili sul sito all'indirizzo: https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html

La documentazione aggiuntiva per l'abilitazione degli AMR è disponibile sul sito all'indirizzo: https://docs.aws.amazon.com/waf/latest/developerguide/waf-using-managed-rule-groups.html

Tieni presente che gli AMR non sono disponibili in WAF Classic, quindi per sfruttare questa opzione di mitigazione è necessario eseguire l'upgrade ad AWS WAF (wafv2).

Amazon OpenSearch

Stiamo aggiornando tutti i domini di Amazon OpenSearch Service per utilizzare una versione di "Log4j2" che risolve il problema. Durante il processo di aggiornamento è possibile che si verifichino attività intermittenti sui tuoi domini.

AWS Lambda

AWS Lambda non include Log4j2 nei suoi runtime gestiti o nelle immagini di container di base. Questi non sono quindi interessati dal problema descritto in CVE-2021-44228. I clienti che utilizzano la libreria aws-lambda-java-log4j2 (https://repo1.maven.org/maven2/com/amazonaws/aws-lambda-java-log4j2/) nelle loro funzioni dovranno eseguire l'aggiornamento alla versione 1.3.0 ed implementare di nuovo.

AWS CloudHSM

Le versioni SDK di CloudHSM JCE precedenti alla 3.4.1 includono una versione di Apache Log4j interessata da questo problema. Il 10 dicembre 2021, CloudHSM ha rilasciato l'SDK JCE v3.4.1 con una versione corretta di Apache Log4j. Se utilizzi versioni di CloudHSM JCE precedenti alla 3.4.1, potresti essere interessato dal problema e dovresti rimediare aggiornando l'SDK CloudHSM JCE alla versione 3.4.1 o successiva [1].
[1] https://docs.aws.amazon.com/cloudhsm/latest/userguide/java-library-install.html