初版発行日: 2021 年 12 月 10 日 午後 7 時 20 分 (PDT)
この問題に対するすべての更新はこちらに移動しました。
AWS は、オープンソースの Apache「Log4j2」ユーティリティに関連して最近公表されたセキュリティ問題 (CVE-2021-44228) について認識しています。当社はこの問題を積極的に監視しており、Log4j2 を使用する AWS のサービス、または Log4j2 をサービスの一環としてお客様に提供する AWS のサービスについての対応を進めています。
Log4j2 を含む環境を管理しているお客様には、最新バージョンへの更新を強くお勧めしています。最新バージョンは、https://logging.apache.org/log4j/2.x/download.html またはご利用のオペレーティングシステムのソフトウェア更新メカニズムで入手いただけます。サービス固有の詳細情報は以下のとおりです。
さらに詳しい情報またはサポートが必要な場合は、AWS Support にご連絡ください。
Amazon EC2
Amazon Linux 1 および Amazon Linux 2 のリポジトリで利用可能な Log4j のバージョンについては、CVE-2021-44228 による影響は受けていません。 Amazon Linux のセキュリティ関連ソフトウェア更新の詳細については、https://alas.aws.amazon.com をご覧ください。
AWS WAF / Shield
最近の Log4j セキュリティ問題により生じるリスクの検出と軽減を改善するために、AWS WAF サービスの AWSManagedRulesKnownBadInputsRuleSet AMR を更新しました。CloudFront、Application Load Balancer (ALB)、API Gateway、および AppSync のお客様は、この緩和オプションを直ちにご利用いただけます。URI、リクエストボディ、よく使用されるヘッダーの点検が行われるため防御の層が厚くなります。本 AMR では、AWS WAF のウェブ ACL を作成して、AWSManagedRulesKnownBadInputsRuleSet をウェブ ACL に追加、そのウェブ ACL を CloudFront ディストリビューション、ALB、API Gateway、または AppSync GraphQL API に関連付けます。
AWS WAF の使用を開始する方法については、https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html を参照してください。
AMR を有効にする方法について詳しく記載しているドキュメントについては、https://docs.aws.amazon.com/waf/latest/developerguide/waf-using-managed-rule-groups.html を参照してください。
WAF Classic では AMR を使用できません。この緩和オプションをご利用いただくため、AWS WAF (wafv2) へのアップグレードをお願いいたします。
Amazon OpenSearch
この問題に対処するバージョンの「Log4j2」を使用するように、すべての Amazon OpenSearch Service ドメインを更新しています。更新プロセス中に、ご利用のドメインで断続的な停止が発生する場合があります。
AWS Lambda
AWS Lambda は、マネージドランタイムまたはベースコンテナイメージに Log4j2 を含んでいません。したがって、これらは CVE-2021-44228 で説明されている問題の影響を受けません。関数で aws-lambda-java-log4j2 (https://repo1.maven.org/maven2/com/amazonaws/aws-lambda-java-log4j2/) ライブラリを使用しているお客様は、バージョン 1.3.0 に更新して再デプロイする必要があります。
AWS CloudHSM
CloudHSM JCE SDK の 3.4.1 以前のバージョンには、この問題の影響を受ける Apache Log4j バージョンが含まれています。2021 年 12 月 10 日、CloudHSM は Apache Log4j の修正バージョンを含む JCE SDK v3.4.1 をリリースしました。3.4.1 以前の CloudHSM JCE バージョンを使用している場合は、影響を受ける可能性があるため、CloudHSM JCE SDK を 3.4.1 以降のバージョンにアップグレードして修正する必要があります [1]。
[1] https://docs.aws.amazon.com/cloudhsm/latest/userguide/java-library-install.html