AWS は、オープンソースの Apache「Log4j2」ユーティリティに関連して最近公表された問題 (CVE-2021-44228 および CVE-2021-45046) について認識しています。

このようなセキュリティの問題に対応する際に、複数階層の防御テクノロジーの真価が発揮されます。これは、お客様のデータとワークロードのセキュリティを維持するために極めて重要です。

当社ではこの問題を非常に深刻に受け止め、当社の世界クラスのエンジニアチームが、Amazon が開発した Java ホットパッチ (こちらで入手可能) をすべての AWS のサービスに完全にデプロイしました。このホットパッチは、Java VM を更新して、Java Naming and Directory Interface (JNDI) クラスのロードを無効にし、無害な通知メッセージに置き換えます。これは、CVE-2021-44228 および CVE-2021-45046 を効果的に軽減します。  更新された Log4j ライブラリをすべてのサービスにデプロイする作業がまもなく完了します。  Java ホットパッチの詳細については、https://aws.amazon.com/blogs/security/open-source-hotpatch-for-apache-log4j-vulnerability/ を参照してください。

このホットパッチをデプロイした場合でも、AWS 全体で行っているように、お客様は更新された Log4j ライブラリを可能な限り迅速かつ安全にデプロイする必要があります。

AWS のサービスを使用して Log4j CVE を検出および修正する方法の詳細については、こちらの最新のブログ投稿をお読みください。

この最終速報の後に、サービス固有の更新を実行する必要はありません。

さらに詳しい情報またはサポートが必要な場合は、AWS Support にご連絡ください。

Amazon Connect

Amazon Connect が更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon Connect サービスの境界外にある環境のコンポーネント (問い合わせフローから呼び出される Lambda 関数など) であって、お客様による個別/追加の軽減が必要になる可能性があるものを評価することをお勧めします。

Amazon Chime

Amazon Chime SDK サービスが更新され、CVE-2021-44228 および CVE-2021-45046 で特定された問題が軽減されました。

Amazon Chime サービスが更新され、CVE-2021-44228 および CVE-2021-45046 で特定された問題が軽減されました。

Amazon EMR

CVE-2021-44228 は、信頼できないソースからの入力を処理するときに、バージョン 2.0〜2.14.1 の Apache Log4j に影響を与えます。EMR 5 および EMR 6 リリースで起動された EMR クラスターには、Apache Hive、Apache Flink、HUDI、Presto、Trino などのオープンソースフレームワークが含まれ、これらのバージョンの Apache Log4j を使用します。EMR のデフォルト構成でクラスターを起動すると、信頼できないソースからの入力は処理されません。多くのお客様は、EMR クラスターにインストールされているオープンソースフレームワークを使用して、信頼できないソースからの入力を処理してログに記録します。したがって、AWS は、こちらで説明するソリューションを適用することをお勧めします。

Amazon Fraud Detector

Amazon Fraud Detector サービスが更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon Kendra

Amazon Kendra が更新され、CVE-2021-44228 が軽減されました。

Amazon Lex

Amazon Lex が更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon Lookout for Equipment

Amazon Lookout for Equipment が更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon Macie

Amazon Macie サービスが更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon Macie Classic

Amazon Macie Classic サービスが更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon Monitron

Amazon Monitron が更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon RDS

Amazon RDS および Amazon Aurora サービスが更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon Rekognition

Amazon Rekognition サービスが更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon VPC

インターネットゲートウェイおよび仮想ゲートウェイサービスを含む Amazon VPC が更新され、CVE-2021-44228 で言及されている Log4j の問題が軽減されました。

AWS AppSync

AWS AppSync が更新され、CVE-2021-44228 および CVE-2021-45046 で特定された問題が軽減されました。

AWS Certificate Manager

AWS Certificate Manager サービスが更新され、CVE-2021-44228 で特定された問題が軽減されました。

ACM Private CA サービスが更新され、CVE-2021-44228 で特定された問題が軽減されました。

AWS Service Catalog

AWS Service Catalog が更新され、CVE-2021-44228 で特定された問題が軽減されました。

AWS Systems Manager

AWS Systems Manager service が更新され、CVE-2021-44228 で特定された問題が軽減されました。Systems Manager エージェント自体はこの問題の影響を受けません。

AWS は、オープンソースの Apache「Log4j2」ユーティリティに関連して最近公表された問題 (CVE-2021-44228 および CVE-2021-45046) について認識しています。

このようなセキュリティの問題に対応する際に、複数階層の防御テクノロジーの真価が発揮されます。これは、お客様のデータとワークロードのセキュリティを維持するために極めて重要です。当社ではこの問題を非常に深刻に受け止めており、当社の世界クラスのエンジニアチームが、24 時間体制で対応と修復に取り組んでいます。多層防御の完全な状態を迅速に復元するよう鋭意努めています。

AWS 内で広範囲に開発およびデプロイしたテクノロジーの 1 つとして、Log4j を含む可能性のあるアプリケーションのホットパッチを挙げることができます。このホットパッチは、Java VM を更新して、Java Naming and Directory Interface (JNDI) クラスのロードを無効にし、無害な通知メッセージに置き換えます。これは、CVE-2021-44228 および CVE-2021-45046 の効果的な軽減策です。

また、これをオープンソースソリューションとして利用できるようにしました (こちらから入手可能)。

このホットパッチをデプロイした場合でも、お客様は更新された Log4j ライブラリを可能な限り迅速かつ安全にデプロイする必要があります。

AWS のサービスを使用して Log4j CVE を検出および修正する方法の詳細については、こちらの最新のブログ投稿をお読みください。

サービス固有の詳細情報は以下のとおりです。さらに詳しい情報またはサポートが必要な場合は、AWS Support にご連絡ください。

Amazon EKS、Amazon ECS、AWS Fargate

オープンソースの Apache「Log4j2」ユーティリティ (CVE-2021-44228 および CVE-2021-45046) のセキュリティ問題がお客様のコンテナに及ぼす影響を軽減するために、Amazon EKS、Amazon ECS、および AWS Fargate では Linux ベースの更新 (ホットパッチ) をデプロイしています。このホットパッチは、使用するためにお客様によるオプトインが必要です。また、お客様のコンテナ内の Log4j2 ライブラリからの JNDI ルックアップを無効化します。これらの更新は、Amazon ECS をご利用のお客様については Amazon Linux パッケージとして、AWS の Kubernetes ユーザーについては DaemonSet として利用可能であり、AWS Fargate プラットフォームのサポートされているバージョンで提供されます。

Windows コンテナで Java ベースのアプリケーションを実行しているお客様は、こちらの Microsoft のガイダンスに従うことをお勧めします。

Amazon ECR Public および Amazon ECR

Amazon ECR Public の検証済みアカウントで発行された Amazon 所有のイメージは、CVE-2021-4422 で説明されている問題の影響を受けません。AWS は、Amazon ECR でお客様が所有するイメージ向けに、Amazon Inspector を使用した Enhanced Scanning を提供しています。これは、CVE-2021-44228 を含むコンテナイメージなど、既知のセキュリティ問題についてコンテナイメージを継続的にスキャンするように設計されています。検出結果は、Inspector および ECR コンソールで報告されます。Inspector では 15 日間の無料トライアルをご利用いただけます。これには、Inspector を初めてご利用のアカウント向けの無料コンテナイメージスキャンが含まれます。サードパーティーの発行元から ECR Public でイメージを使用しているお客様は、最近リリースされた ECR のプルスルーキャッシュ機能を使用して、それらのイメージを ECR Public から ECR レジストリにコピーし、Inspector のスキャン機能を使用してセキュリティの問題を検出できます。

Amazon Cognito

Amazon Cognito サービスが更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon Pinpoint

Amazon Pinpoint サービスが更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon EventBridge

Amazon EventBridge が更新され、CVE-2021-44228 で特定された問題が軽減されました。

Elastic Load Balancing

Elastic Load Balancing サービスが更新され、CVE-2021-44228 で特定された問題が軽減されました。すべての Elastic Load Balancer、ならびに Classic、Application、Network、および Gateway は Java で記述されていないため、この問題の影響を受けていません。

AWS CodePipeline


AWS CodePipeline が更新され、CVE-2021-44228 および CVE-2021-45046 で特定された問題が軽減されました。

AWS CodeBuild

AWS CodeBuild が更新され、CVE-2021-44228 および CVE-2021-45046 で特定された問題が軽減されました。

Amazon Route53


Route 53 が更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon Linux


Amazon Linux 1 (AL1) および Amazon Linux 2 (AL2) は、デフォルトで、CVE-2021-44228 または CVE-2021-45046 の影響を受けない log4j バージョンを使用します。AL2 の一部である Amazon Kinesis Agent の新しいバージョンは、CVE-2021-44228 および CVE-2021-45046 に対処しています。さらに、独自の log4j コードを利用するお客様をサポートするため、Amazon Linux は Apache log4j のホットパッチを含む新しいパッケージをリリースしました。詳細については、こちらをご覧ください。

Amazon SageMaker

Amazon SageMaker は、2021 年 12 月 15 日に、Apache Log4j2 に関する問題 (CVE-2021-44228) のパッチ適用を完了しました。

このような既知の問題にパッチを適用することで、すべてのアプリケーションとサービスを更新することをお勧めします。この問題に対処することが推奨されるお客様には、PHD を介して詳細な指示が提供されています。Log4j の問題の影響を受けていない場合でも、ジョブを再開するか、アプリケーションを更新して最新バージョンのソフトウェアを使用することをお勧めします。

Amazon Athena

Amazon Athena が更新され、CVE-2021-44228 で特定された問題が軽減されました。お客様に販売されている Amazon Athena JDBC ドライバーのすべてのバージョンは、この問題の影響を受けていません。

AWS Certificate Manager

AWS Certificate Manager サービスが更新され、CVE-2021-44228 で特定された問題が軽減されました。

ACM Private CA サービスが更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon AppFlow

Amazon AppFlow が更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon Polly

Amazon Polly が更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon QuickSight

Amazon QuickSight が更新され、CVE-2021-44228 で特定された問題が軽減されました。

AWS Textract

AWS Textract サービスが更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon Corretto

10 月 19 日にリリースされた最新の Amazon Corretto は、Corretto ディストリビューションに Log4j が含まれていないため、CVE-2021-44228 の影響を受けません。Log4j を使用するすべてのアプリケーションで最新バージョンの Log4j に更新することをお勧めします。これには、直接依存関係、間接依存関係、シャード化された jar ファイルが含まれます。
 

AWS は、オープンソースの Apache「Log4j2」ユーティリティに関連して最近公表されたセキュリティ問題 (CVE-2021-44228) について認識しています。

このようなセキュリティの問題に対応する際に、複数階層の防御テクノロジーの真価が発揮されます。これは、お客様のデータとワークロードのセキュリティを維持するために極めて重要です。当社ではこの問題を非常に深刻に受け止めており、当社の世界クラスのエンジニアチームが、24 時間体制で対応と修復に取り組んでいます。多層防御の完全な状態を迅速に復元するよう鋭意努めています。

当社が開発およびデプロイしたテクノロジーの 1 つとして、Log4j を含む可能性のあるアプリケーションのホットパッチを挙げることができます。また、これをオープンソースソリューションとして利用できるようにしました (こちらから入手可能)。

このホットパッチをデプロイした場合でも、お客様は、可能な限り迅速かつ安全に、更新された Log4j ライブラリのデプロイを計画する必要があります。

サービス固有の詳細情報は以下のとおりです。さらに詳しい情報またはサポートが必要な場合は、AWS Support にご連絡ください。

Amazon Kinesis

最近公表された Apache Log4j2 ライブラリの問題 (CVE-2021-44228) に対処する Kinesis Agent の新しいバージョンはこちらから入手できます。

Amazon Inspector

Amazon Inspector サービスでは、Log4j の問題に対してパッチが適用されています。

Inspector サービスは、お客様の EC2 ワークロードおよび ECR イメージ内の CVE-2021-44228 (Log4Shell) の問題を検出するのに役立ちます。検出は現在、Linux 上の影響を受けるオペレーティングシステムレベルのパッケージでご利用いただけます。これらには、apache-log4j2 および liblog4j2-java (Debian の場合)、log4j、log4jmanual、および log4j12 (SUSE の場合)、ならびに Elasticsearch (Alpine、Centos、Debian、Red Hat、SUSE、および Ubuntu の場合) が含まれますが、これらに限られません。それぞれの配布セキュリティチームによってさらなる影響が特定されると、検出がさらに追加されます。Inspector は、ECR イメージ内に保存されている Java アーカイブを分解し、影響を受けるパッケージまたはアプリケーションの検出結果を生成します。これらの検出事項は、Inspector コンソールの「CVE-2021-44228」または「IN1-JAVA-ORGAPACHELOGGINGLOG4J-2314720 - org.apache.logging.log4j:log4j-core」で識別されます。

Amazon Inspector Classic

Amazon Inspector サービスでは、Log4j の問題に対してパッチが適用されています。

Inspector Classic サービスは、お客様の EC2 ワークロード内の CVE-2021-44228 (Log4Shell) の問題を検出するのに役立ちます。CVE-2021-44228 (Log4Shell) 向けの検出は現在、Linux 上の影響を受けるオペレーティングシステムレベルのパッケージでご利用いただけます。これらには、apache-log4j2 および liblog4j2-java (Debian の場合)、log4j、log4jmanual、および log4j12 (SUSE の場合)、ならびに Elasticsearch (Alpine、Centos、Debian、Red Hat、SUSE、および Ubuntu の場合) が含まれますが、これらに限られません。

Amazon WorkSpaces/AppStream 2.0

Amazon WorkSpaces および AppStream 2.0 は、デフォルト構成では CVE-2021-44228 の影響を受けません。WorkSpaces と AppStream のデフォルトの Amazon Linux 2 イメージには Log4j が含まれておらず、Amazon Linux2 のデフォルトパッケージリポジトリで利用可能な Log4j のバージョンは CVE-2021-44228 の影響を受けません。ただし、WorkDocs Sync クライアントを Windows WorkSpaces にデプロイした場合は、以下の推奨アクションを実行してください。

デフォルトでは、Windows WorkSpaces には WorkDocs Sync がインストールされていません。ただし、WorkSpaces には、2021 年 6 月よりも前には WorkDocs Sync クライアントインストーラーへのデフォルトのデスクトップショートカットがありました。WorkDocs Sync クライアントバージョン 1.2.895.1 (およびそれ以前) には、Log4j コンポーネントが含まれています。古い WorkDocs Sync クライアントバージョンを WorkSpaces にデプロイした場合は、SCCM などの管理ツールを使用して WorkSpaces で Sync クライアントを再起動するか、インストールされているプログラムのリストから Sync クライアント (「Amazon WorkDocs」) を手動で開くように WorkSpaces ユーザーに指示してください。起動時に、Sync クライアントは CVE-2021-44228 の影響を受けない最新バージョンである 1.2.905.1 に自動更新します。Workdocs Drive および WorkDocs Companion アプリケーションは、この問題の影響を受けません。

Amazon Timestream

Amazon Timestream が更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon DocumentDB

2021 年 12 月 13 日の時点で、Amazon DocumentDB にパッチが適用され、CVE-2021-44228 で言及されている Log4j の問題が軽減されました。

Amazon CloudWatch

Amazon CloudWatch サービスが更新され、CVE-2021-44228 で特定された問題が軽減されました。

AWS Secrets Manager

AWS Secrets Manager が更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon Single Sign-On

Amazon Single Sign-On サービスが更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon RDS Oracle

Amazon RDS Oracle は、サービス内で使用されている Log4j2 のバージョンを更新しました。RDS インスタンスへのアクセスは、VPC と、セキュリティグループやネットワークアクセスコントロールリスト (ACL) などの他のセキュリティコントロールによって引き続き制限されます。RDS インスタンスへのアクセス管理が適切なものとなるように、これらの設定を確認することを強くお勧めします。

Oracle Support document 2827611.1 によると、Oracle データベース自体はこの問題の影響を受けません。

Amazon Cloud Directory

Amazon Cloud Directory が更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon Simple Queue Service (SQS)

SQS のデータ送受信に関する Apache Log4j2 の問題 (CVE-2021-44228) については、Amazon Simple Queue Service (SQS) がパッチの適用を 2021 年 12 月 13 日に完了しました。Log4j2 を使用していたその他すべての SQS システムへのパッチ適用も完了しています。

AWS KMS

AWS KMS が更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon Redshift

Amazon Redshift クラスターは、CVE-2021-44228 で特定された問題を軽減するために自動的に更新されました。

AWS Lambda

AWS Lambda は、マネージドランタイムまたはベースコンテナイメージに Log4j2 を含んでいません。したがって、これらは CVE-2021-44228 および CVE-2021-45046 で説明されている問題の影響を受けません。

影響を受ける Log4j2 バージョンがお客様の関数に含まれているケースでは、Lambda Java マネージドランタイムおよびベースコンテナイメージ (Java 8、Java 8 on AL2、および Java 11) に変更を適用しました。これは、CVE-2021-44228 および CVE-2021-45046 の問題を軽減するのに役立ちます。マネージドランタイムを使用しているお客様については、変更が自動的に適用されます。コンテナイメージを使用しているお客様は、最新のベースコンテナイメージから再構築し、再デプロイする必要があります。

この変更とは別に、Log4j2 を含む関数を使用するすべてのお客様には、最新バージョンに更新することを強くお勧めします。具体的には、関数で aws-lambda-java-log4j2 ライブラリを使用しているお客様は、バージョン 1.4.0 に更新して、関数を再デプロイする必要があります。このバージョンは、基盤となる Log4j2 ユーティリティの依存関係をバージョン 2.16.0 に更新します。更新された aws-lambda-java-log4j2 バイナリは Maven リポジトリで入手可能です。また、そのソースコードは Github で入手可能です。

AWS は、オープンソースの Apache「Log4j2」ユーティリティに関連して最近公表されたセキュリティ問題 (CVE-2021-44228) について認識しています。

このようなセキュリティの問題に対応する際に、複数階層の防御テクノロジーの真価が発揮されます。これは、お客様のデータとワークロードのセキュリティを維持するために極めて重要です。当社ではこの問題を非常に深刻に受け止めており、当社の世界クラスのエンジニアチームが、24 時間体制で対応と修復に取り組んでいます。多層防御の完全な状態を迅速に復元するよう鋭意努めています。

このような既知の問題にパッチを適用することで、すべてのアプリケーションとサービスを更新し、適切に設計されたガイダンスに引き続き従うことをお勧めします。

サービス固有の詳細情報は以下のとおりです。さらに詳しい情報またはサポートが必要な場合は、AWS Support にご連絡ください。

Amazon API Gateway

2021 年 12 月 13 日の時点で、すべての Amazon API Gateway ホストにパッチが適用され、CVE-2021-44228 で言及されている Log4j の問題が軽減されました。

Amazon CloudFront

Amazon CloudFront サービスが更新され、CVE-2021-44228 で特定された問題が軽減されました。POP で実行される CloudFront リクエスト処理サービスは Java では記述されていないため、この問題の影響を受けていません。

Amazon Connect

Amazon Connect サービスが更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon DynamoDB

Amazon DynamoDB および Amazon DynamoDB Accelerator (DAX) が更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon EC2

Amazon Linux 1 および Amazon Linux 2 リポジトリで利用可能な Log4j のバージョンは、CVE-2021-44228 の影響を受けません。Amazon Linux のセキュリティ関連のソフトウェア更新の詳細は、Amazon Linux セキュリティセンターでご確認いただけます。

Amazon ElastiCache

Amazon ElastiCache の Redis エンジンは、マネージドランタイムまたはベースコンテナイメージに Log4j2 を含んでいません。Amazon ElastiCache は、2021 年 12 月 12 日に、Apache Log4j2 に関する問題 (CVE-2021-44228) のパッチ適用を完了しました。

Amazon EMR

CVE-2021-44228 は、信頼できないソースからの入力を処理するときに、バージョン 2.0〜2.14.1 の Apache Log4j に影響を与えます。EMR 5 および EMR 6 リリースで起動された EMR クラスターには、Apache Hive、Apache Flink、HUDI、Presto、Trino などのオープンソースフレームワークが含まれ、これらのバージョンの Apache Log4j を使用します。EMR のデフォルト構成でクラスターを起動すると、信頼できないソースからの入力は処理されません。

当社は、EMR クラスターにインストールされたオープンソースフレームワークが信頼できないソースからの情報を処理する場合に、CVE-2021-44228 で説明されている問題を軽減する更新の構築に積極的に取り組んでいます。

AWS IoT SiteWise Edge

Log4j を使用するすべての AWS IoT SiteWise Edge コンポーネントの更新は、2021 年 12 月 13 日にデプロイ可能となりました。これらのコンポーネントは、OPC-UA コレクター (v2.0.3)、データ処理パック (v2.0.14)、およびパブリッシャー (v2.0.2) です。AWS は、これらのコンポーネントを使用しているお客様は、最新バージョンを SiteWise Edge ゲートウェイにデプロイすることをお勧めします。

Amazon Keyspaces (Apache Cassandra 用)

Amazon Keyspaces (Apache Cassandra 用) が更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon Kinesis Data Analytics

Amazon Kinesis Data Analytics でサポートされている Apache Flink のバージョンには、Apache Log4j のバージョン 2.0〜2.14.1 が含まれています。Kinesis Data Analytics アプリケーションは、シングルテナントの分離された環境で動作し、相互にやり取りすることはできません。

すべての AWS リージョンの Kinesis Data Analytics カスタマーアプリケーションで利用できる Log4j のバージョンの更新を進めています。2021 年 12 月 12 日午後 6 時 30 分 (太平洋標準時) 以降に開始または更新されたアプリケーションは、更新されたパッチを自動的に受信します。それ以前に開始または更新されたアプリケーションを使用しているお客様は、Kinesis Data Analytics UpdateApplication API を呼び出すことで、アプリケーションが更新されたバージョンの Log4j で実行されることを確認できます。UpdateApplication API の詳細については、サービスのドキュメントをご覧ください。

Amazon Kinesis Data Streams

更新を適用することにより、Log4j2 を使用するすべてのサブシステムに積極的にパッチを適用しています。Kinesis Client Library (KCL) バージョン 2.X および Kinesis Producer Library (KPL) は影響を受けません。KCL 1.x をご利用のお客様向けに更新バージョンをリリースしました。すべての KCL バージョン 1.x をご利用のお客様は、こちらから入手可能な KCL バージョン 1.14.5 (またはそれ以降) にアップグレードすることを強くお勧めします。

Amazon Managed Streaming for Apache Kafka (MSK)

当社は、今般報告された Apache Log4j2 ライブラリに関する問題 (CVE-2021-44228) を認識しており、必要に応じて更新を適用しています。MSK で提供されている Apache Kafka および Apache Zookeeper の構築には、現在 Log4j 1.2.17 を使用しています。このバージョンは、この問題の影響を受けません。一部の MSK 固有のサービスコンポーネントは 2.0.0 よりも後のバージョンの Log4j ライブラリを使用し、必要に応じてパッチが適用されています。

Amazon Managed Workflows for Apache Airflow (MWAA)

MWAA には、今般報告された Apache Log4j2 ライブラリに関する問題 (CVE-2021-44228) に関して、Amazon MWAA サービスコード (AWS 固有) とオープンソースコード (Apache Airflow) の 2 つの分野の考慮事項があります。

2021 年 12 月 14 日の時点で、この問題に対処するため、MWAA サービスコードに必要なすべての更新を完了しました。Apache Airflow は Log4j2 を使用していませんので、この問題の影響を受けません。

Log4j2 を環境に追加したお客様には、最新バージョンに更新することを強くお勧めします。

Amazon MemoryDB for Redis

Amazon MemoryDB for Redis は、2021 年 12 月 12 日に、Apache Log4j2 に関する問題 (CVE-2021-44228) のパッチ適用を完了しました。

Amazon MQ

Amazon MQ には、この程報告された Apache Log4j2 ライブラリに関する問題 (CVE-2021-44228) に関して、Amazon MQ サービスコード (AWS 固有) とオープンソースコード (Apache ActiveMQ および RabbitMQ メッセージブローカー) の 2 つの分野の考慮事項があります。

2021 年 12 月 13 日の時点で、この問題に対処するため、Amazon MQ サービスコードに必要なすべての更新を完了しました。
オープンソースのメッセージブローカーは更新の必要はありません。Amazon MQ で提供される Apache ActiveMQ のすべてのバージョンは、Log4j バージョン 1.2.x を使用しますが、このバージョンはこの問題の影響を受けません。RabbitMQ は Log4j を使用していませんので、この問題の影響を受けません。

Amazon Neptune

すべてのアクティブな Amazon Neptune クラスターは、CVE-2021-44228 で特定された問題を軽減するために自動的に更新されました。

Amazon OpenSearch Service

Amazon OpenSearch Service は、すべてのリージョンで Log4j2 の更新バージョンを含む重要なサービスソフトウェアアップデートである R20211203-P2 をリリースしました。OpenSearch クラスターを可能な限り早期にこのリリースに更新することを強くお勧めします。

Amazon RDS

Amazon RDS と Amazon Aurora は、更新を適用することにより、Log4j2 のすべてのサービス使用に積極的に対応しています。RDS で構築されたリレーショナルデータベースエンジンには、Apache Log4j2 ライブラリは含まれていません。アップストリームのベンダーが関与している場合、当社では推奨される軽減策を適用しています。内部コンポーネントの更新中に断続的な事象が発生する場合があります。

Amazon S3

S3 のデータ送受信に関する Apache Log4j2 の問題 (CVE-2021-44228) については、Amazon S3 がパッチの適用を 2021 年 12 月 11 日に完了しました。Log4j2 を使用していたその他すべての S3 システムへのパッチ適用も完了しています。

Amazon Simple Notification Service (SNS)

お客様のトラフィックを処理する Amazon SNS システムでは、Log4j2 の問題に対するパッチが適用されます。Log4j2 パッチを、お客様のトラフィックを処理する SNS のシステムとは別に動作するサブシステムに適用するよう取り組んでいます。

Amazon Simple Workflow Service (SWF)

Amazon Simple Workflow Service (SWF) が更新され、CVE-2021-44228 で特定された問題が軽減されました。

AWS CloudHSM

AWS CloudHSM JCE SDK の 3.4.1 よりも前のバージョンには、この問題の影響を受ける Apache Log4j バージョンが含まれています。2021 年 12 月 10 日、CloudHSM は Apache Log4j の修正バージョンを含む JCE SDK v3.4.1 をリリースしました。3.4.1 より前のバージョンの CloudHSM JCE を使用している場合は、影響を受ける可能性があるため、CloudHSM JCE SDK をバージョン 3.4.1 以降にアップグレードして問題を軽減する必要があります。

AWS Elastic Beanstalk

AWS Elastic Beanstalk は、Amazon Linux デフォルトパッケージリポジトリから Amazon Linux 1 および Amazon Linux 2 の Tomcat プラットフォームに Log4j をインストールします。Amazon Linux 1 および Amazon Linux 2 リポジトリで利用可能な Log4j のバージョンは、CVE-2021-44228 の影響を受けません。

アプリケーションでの Log4j の使用に構成変更を加えた場合は、アプリケーションのコードを更新するためのアクションを実行してこの問題を軽減することをお勧めします。

通常のプラクティスに従い、これらのデフォルトのパッケージリポジトリバージョンのパッチが適用されたバージョンがリリースされた場合、Elastic Beanstalk は、Amazon Linux 1 および Amazon Linux 2 の次の Tomcat プラットフォームバージョンリリースにパッチが適用されたバージョンを含めます。

Amazon Linux のセキュリティ関連のソフトウェア更新の詳細は、Amazon Linux セキュリティセンターでご確認いただけます。

AWS Glue

AWS Glue は、オープンソースの Apache「Log4j2」ユーティリティに関連して最近公開されたセキュリティの問題 (CVE-2021-44228) を認識しています。サポートされているすべての Glue のバージョンの AWS Glue API を提供するコントロールプレーンフリートを更新しました。

AWS Glue は、ネットワークおよび管理レベルで、AWS Glue サービスアカウント内のその他すべての Spark 環境から分離された新しい Spark 環境を作成します。お客様の ETL ジョブは、単一のテナント環境で実行されます。特定のバージョンの Apache Log4j を含む ETL ジョブまたは開発エンドポイントで使用するカスタム jar ファイルをアップロードしている場合は、最新バージョンの Apache Log4j を使用するように jar を更新することをお勧めします。

AWS Glue は、サポートされているすべてのリージョンの新しい Spark 環境に積極的に更新を適用しています。ご質問がある場合、または追加のサポートが必要な場合は、AWS Support にお問い合わせください。

AWS Greengrass

Log4j を使用するすべての AWS Greengrass V2 コンポーネントの更新は、2021 年 12 月 10 日よりデプロイ可能です。これらのコンポーネントは、Stream Manager (2.0.14) および Secure Tunneling (1.0.6) です。AWS は、これらの Greengrass コンポーネントを使用しているお客様は、最新バージョンをデバイスにデプロイすることをお勧めします。

Greengrass バージョン 1.10.x および 1.11.x の Stream Manager 機能は、Log4j を使用します。Stream Manager 機能の更新は、Greengrass パッチバージョン 1.10.5 および 1.11.5 に含まれています。これらは、どちらも 2021 年 12 月 12 日より利用可能です。デバイスで Stream Manager を有効にしており (または今後有効にする可能性があり)、かつ、バージョン1.10.x および 1.11.x を使用しているお客様は、デバイスを最新バージョンに更新することを強くお勧めします。

AWS Lake Formation

AWS Lake Formation サービスホストは、CVE-2021-44228 で参照されているバージョンのセキュリティ問題に対処するために、Log4j の最新バージョンに更新されています。

AWS Lambda

AWS Lambda は、マネージドランタイムまたはベースコンテナイメージに Log4j2 を含んでいません。したがって、これらは CVE-2021-44228 で説明されている問題の影響を受けません。関数で aws-lambda-java-log4j2 ライブラリを使用しているお客様は、バージョン 1.3.0 に更新して再デプロイする必要があります。

AWS SDK

AWS SDK for Java はログ記録ファサードを使用し、Log4j へのランタイム依存関係はありません。AWS は現在、この問題に関して AWS SDK for Java の変更を行う必要はないと考えています。

AWS Step Functions

AWS Step Functions が更新され、CVE-2021-44228 で特定された問題が軽減されました。

AWS Web Application Firewall (WAF)

最近の Log4j セキュリティ問題に関連する検出と軽減を改善するために、CloudFront、Application Load Balancer (ALB)、API Gateway、および AppSync をご利用のお客様は、オプションで AWS WAF を有効にして、AWSManagedRulesKnownBadInputsRuleSet と AWSManagedRulesAnonymousIpList といった 2 つの AWS マネージドルール (AMR) を適用できます。

AWSManagedRulesKnownBadInputsRuleSet は、リクエスト URI、本文、および一般的に使用されるヘッダーを検査します。AWSManagedRulesAnonymousIpList は、ビューワーアイデンティティの難読化を許可するサービスからのリクエストをブロックするのに役立ちます。これらのルールを適用するには、AWS WAF ウェブ ACL を作成し、いずれか、または両方のルールセットをウェブ ACL に追加してから、ウェブ ACL を CloudFront ディストリビューション、ALB、API Gateway、または AppSync GraphQL API に関連付けます。

詳細が判明するのに伴って、当社は、継続的に AWSManagedRulesKnownBadInputsRuleSet ルールグループのイテレーションを実行します。AWSManagedRulesKnownBadInputsRuleSet に対する自動更新を受信するには、デフォルトバージョンを選択してください。AWS WAF Classic を使用しているお客様は、AWS WAF に移行するか、カスタム正規表現の一致条件を作成する必要があります。お客様は AWS Firewall Manager を使用できます。これにより、1 つの場所から複数の AWS アカウントとリソースにまたがる AWS WAF ルールを設定できます。ルールのグループ化や、ポリシーの構築、さらにそれらのポリシーをインフラストラクチャ全体に一元的に適用できます。

NICE

EnginFrame のバージョン 2020.0〜2021.0-r1307 に含まれる Apache Log4j ライブラリの CVE のため、NICE は、EnginFrame を最新のバージョンにアップグレードするか、サポートウェブサイトの手順に従って EnginFrame インストールの Log4j ライブラリを更新することをお勧めします。

ご質問がございましたら、当社までお問い合わせください

最新情報は英語文章で更新されていますので、英語に切り替えて最新情報をご確認ください。

AWS は、オープンソースの Apache「Log4j2」ユーティリティに関連して最近公表されたセキュリティ問題 (CVE-2021-44228) について認識しています。当社はこの問題を積極的にモニタリングしており、Log4j2 を使用する AWS のサービスや、サービスの一環としてお客様に提供する AWS のサービスについての対応を進めています。

Log4j2 を含む環境を管理しているお客様には、ご利用のオペレーティングシステムのソフトウェア更新メカニズムで入手可能な最新バージョンに更新することを強くお勧めします。サービス固有の追加情報は以下のとおりです。

追加の詳細やサポートが必要な場合は、AWS Support までお問い合わせください。

S3

S3 のデータ送受信に関する Apache Log4j2 の問題 (CVE-2021-44228) は S3 がパッチの適用を 2021 年 12 月 11 日に完了しました。Log4j2 を使用していたその他すべての S3 システムへのパッチ適用も完了しています。

Amazon OpenSearch

Amazon OpenSearch Service は、Log4j2 の更新バージョンを含む、バージョン R20211203-P2 のサービスソフトウェアの更新をデプロイしています。この速報が全世界に公開されましたら、お客様に、お客様のリージョンで更新情報が公開されたことをお知らせし、この速報を更新します。

AWS Lambda

AWS Lambda は、マネージドランタイムまたはベースコンテナイメージに Log4j2 を含んでいません。したがって、これらは CVE-2021-44228 で説明されている問題の影響を受けません。関数で aws-lambda-java-log4j2 library を使用しているお客様は、バージョン 1.3.0 に更新して再デプロイする必要があります。

AWS CloudHSM

CloudHSM JCE SDK の 3.4.1 以前のバージョンには、この問題の影響を受ける Apache Log4j バージョンが含まれています。2021 年 12 月 10 日、CloudHSM は Apache Log4j の修正バージョンを含む JCE SDK v3.4.1 をリリースしました。3.4.1 より前のバージョンの CloudHSM JCE を使用している場合は、影響を受ける可能性があるため、CloudHSM JCE SDK をバージョン 3.4.1 以降にアップグレードして問題を軽減する必要があります。

Amazon EC2

Amazon Linux 1 および Amazon Linux 2 リポジトリで利用可能な Log4j のバージョンは、CVE-2021-44228 の影響を受けません。Amazon Linux のセキュリティ関連のソフトウェア更新の詳細は、Amazon Linux セキュリティセンターでご確認いただけます。 

API Gateway

当社は、問題を軽減する Log4j2 のバージョンを使用するために API Gateway を更新してします。これらの更新中に、一部の API で定期的なレイテンシーの増加が見られる場合があります。

AWS Greengrass

Log4j を使用するすべての Greengrass V2 コンポーネントの更新は、2021 年 12 月 10 日よりデプロイ可能です。これらのコンポーネントは、Stream Manager (2.0.14) および Secure Tunneling (1.0.6) です。AWS は、これらの Greengrass コンポーネントを使用しているお客様は、最新バージョンをデバイスにデプロイすることをお勧めします。

Greengrass バージョン 1.10.x および 1.11.x の Stream Manager 機能は、Log4j を使用します。Stream Manager 機能の更新は、Greengrass パッチバージョン 1.10.5 および 1.11.5 に含まれています。これらは、どちらも 2021 年 12 月 12 日より利用可能です。デバイスで Stream Manager を有効にしていて (または今後有効にする可能性がある) バージョン1.10.x および 1.11.x を使用しているお客様は、デバイスを最新バージョンに更新することを強くお勧めします。

CloudFront

CloudFront サービスが更新され、CVE-2021-44228 で特定された問題が軽減されました。POP で実行される CloudFront リクエスト処理サービスは Java では記述されていないため、この問題の影響を受けませんでした。

Elastic Beanstalk

AWS Elastic Beanstalk は、Amazon Linux デフォルトパッケージリポジトリから Amazon Linux 1 および Amazon Linux 2 の Tomcat プラットフォームに Log4j をインストールします。Amazon Linux 1 および Amazon Linux 2 リポジトリで利用可能な Log4j のバージョンは、CVE-2021-44228 の影響を受けません。

アプリケーションでの Log4j の使用に構成変更を加えた場合は、アプリケーションのコードを更新するためのアクションを実行してこの問題を軽減することをお勧めします。

通常プラクティスに従い、これらのデフォルトのパッケージリポジトリバージョンのパッチが適用されたバージョンがリリースされた場合、Elastic Beanstalk は、Amazon Linux 1 および Amazon Linux 2 の次の Tomcat プラットフォームバージョンリリースにパッチが適用されたバージョンを含めます。

 Amazon Linux のセキュリティ関連のソフトウェア更新の詳細は、Amazon Linux セキュリティセンターでご確認いただけます。 

EMR

CVE-2021-44228 は、信頼できないソースからの入力を処理するときに、バージョン 2.0〜2.14.1 の Apache Log4j に影響を与えます。EMR 5 および EMR 6 リリースで起動された EMR クラスターには、Apache Hive、Flink、HUDI、Presto、Trino などのオープンソースフレームワークが含まれ、これらのバージョンの Apache Log4j を使用します。EMR のデフォルト構成でクラスターを起動すると、信頼できないソースからの入力は処理されません。

AWS は、EMR クラスターにインストールされたオープンソースフレームワークが信頼できないソースからの情報を処理する場合に、CVE-2021-44228 で説明されている問題を軽減する更新の構築に積極的に取り組んでいます。

Lake Formation

Lake Formation サービスホストは、CVE-2021-44228 で参照されているバージョンのセキュリティ問題に対処するために、Log4j の最新バージョンに積極的に更新されています。

AWS SDK

AWS SDK for Java はログ記録ファサードを使用し、log4j へのランタイム依存関係はありません。AWS は、現在、この問題に関して AWS SDK for Java の変更を行う必要はないと考えています。

AMS

AWS は、この問題を積極的にモニタリングしており、Log4j2 を使用するすべての AMS のサービスでこの問題への対処を進めております。Log4j2 を含む環境を管理しているお客様には、ご利用のオペレーティングシステムのソフトウェア更新メカニズムで入手可能な最新バージョンに更新することを強くお勧めします。

Amazon Neptune

Amazon Neptune には周辺機器コンポーネントとして Apache Log4j2 ライブラリが含まれていますが、この問題が Neptune ユーザーに影響を与えるとは考えられません。十分に注意を払い、Neptune クラスターは、問題を対処するバージョンの Log4j2 を使用するように自動的に更新されます。更新中に断続的な事象が発生する場合があります。

NICE

EnginFrame にバージョン 2020.0〜2021.0-r1307 に含まれる Apache Log4j ライブラリの CVE のため、NICE は、EnginFrame を最新のバージョンにアップグレードするか、サポートウェブサイトの手順に従って EnginFrame インストールの Log4j ライブラリを更新することをお勧めします。

ご質問がございましたら、お問い合わせください

Kafka

Managed Streaming for Apache Kafka は、この程報告された Apache Log4j2 ライブラリに関する問題 (CVE-2021-44228) を認識しており、必要に応じて更新を適用しています。MSK で提供されている Apache Kafka および Apache Zookeeper の構築には、現在 log4j 1.2.17 を使用しています。このバージョンは、この問題の影響を受けません。一部の MSK 固有のサービスコンポーネントは 2.0.0 以上の log4j ライブラリを使用し、必要に応じてパッチが適用されています。

AWS Glue

AWS Glue は、オープンソースの Apache「Log4j2」ユーティリティに関連して最近公開されたセキュリティの問題 (CVE-2021-44228) を認識しています。サポートされているすべての Glue のバージョンの AWS Glue API を提供するコントロールプレーンフリートを更新しました。

​AWS Glue は、ネットワークおよび管理レベルで、AWS Glue サービスアカウント内のその他すべての Spark 環境から分離された新しい Spark 環境を作成します。お客様の ETL ジョブは、単一のテナント環境で実行されます。ETL ジョブが特定のバージョンの Apache Log4j をロードする場合は、最新バージョンの Apache Log4j を使用するようにスクリプトを更新することをお勧めします。AWS Glue 開発エンドポイントを使用してスクリプトを作成する場合は、そこで使用する Log4j バージョンも更新することをお勧めします。

​AWS Glue は、サポートされているすべてのリージョンの新しい Spark 環境に積極的に更新を適用しています。ご質問がある場合、または追加のサポートが必要な場合は、AWS Support にお問い合わせください。

RDS

Amazon RDS と Amazon Aurora は、更新を適用することにより、Log4j2 のすべてのサービス使用に積極的に対応しています。RDS で構築されたリレーショナルデータベースエンジンには、Apache Log4j ライブラリは含まれていません。アップストリームのベンダーが関与している場合、推奨される緩和策を適用してまいります。内部コンポーネントの更新中に断続的な事象が発生する場合があります。

Amazon Connect

Amazon Connect サービスが更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon DynamoDB 

Amazon DynamoDB および Amazon DynamoDB Accelerator (DAX) が更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon Keyspaces (Apache Cassandra 用)

Amazon Keyspaces (Apache Cassandra 用) が更新され、CVE-2021-44228 で特定された問題が軽減されました。

Amazon MQ

Amazon MQ には、この程報告された Apache Log4j2 ライブラリに関する問題 (CVE-2021-44228) に関して、Amazon MQ サービスコード (AWS 固有) とオープンソースコード (Apache ActiveMQ および RabbitMQ メッセージブローカー) の 2 つの分野の考慮事項があります。

2021 年 12 月 13 日の時点で、この問題に対処するため、Amazon MQ サービスコードに必要なすべての更新を完了しました。

オープンソースのメッセージブローカーは更新の必要はありません。Amazon MQ で提供される Apache ActiveMQ のすべてのバージョンは、Log4j バージョン 1.2.x を使用しますが、このバージョンはこの問題の影響を受けません。RabbitMQ は Log4j を使用していませんので、この問題の影響を受けません。

Kinesis Data Analytics

Kinesis Data Analytics でサポートされている Apache Flink のバージョンには、Apache Log4j のバージョン 2.0〜2.14.1 が含まれています。Kinesis Data Analytics アプリケーションは、シングルテナントの分離された環境で動作し、相互にやり取りすることはできません。

すべての AWS リージョンの Kinesis Data Analytics カスタマーアプリケーションで利用できる Log4j のバージョンの更新を進めています。2021 年 12 月 12 日午後 6 時 30 分 (太平洋標準時) 以降に開始または更新されたアプリケーションは、更新されたパッチを自動的に受信します。それ以前に開始または更新されたアプリケーションを使用しているお客様は、Kinesis Data Analytics UpdateApplication API を呼び出すことで、アプリケーションが更新されたバージョンの Log4j で実行されることを確認できます。UpdateApplication API の詳細情報をご確認ください。

AWS は、オープンソースの Apache「Log4j2」ユーティリティに関連して最近公表されたセキュリティ問題 (CVE-2021-44228) について認識しています。当社はこの問題を積極的にモニタリングしており、Log4j2 を使用する AWS のサービスや、サービスの一環としてお客様に提供する AWS のサービスについての対応を進めています。

Log4j2 を含む環境を管理しているお客様には、ご利用のオペレーティングシステムのソフトウェア更新メカニズムで入手可能な最新バージョンに更新することを強くお勧めします。

8u121 または 8u191 (JDK 11 以降を含む) 以降の JDK で Log4j2 を使用すると問題が軽減されることが報告されていますが、これは部分的な軽減にすぎません。包括的に解決するには、Log4j2 を 2.15 にアップグレードするしかありません。2.15 より古いバージョンの Log4j2 は、使用されている JDK ディストリビューションまたはバージョンに関係なく影響を受けるものとお考えください。

サービス固有の追加情報は以下のとおりです。

追加の詳細やサポートが必要な場合は、AWS Support までお問い合わせください。

API Gateway

当社は、問題を軽減する Log4j2 のバージョンを使用するために API Gateway を更新してします。これらの更新中に、一部の API で定期的なレイテンシーの増加が見られる場合があります。

AWS Greengrass

Apache Log4j2 を使用するすべての Greengrass V2 コンポーネントの更新は、2021 年 12 月 10 日よりデプロイ可能です。これらのコンポーネントは、Stream Manager (2.0.14) および Secure Tunneling (1.0.6) です。AWS は、これらの Greengrass コンポーネントを使用しているお客様は、最新バージョンをデバイスにデプロイすることをお勧めします。

Greengrass バージョン 1.10 および 1.11 の更新は、2021 年 12 月 17 日までに利用可能になる予定です。これらのデバイスで Stream Manager を使用しているお客様は、Greengrass バイナリがこれらのバージョンで利用可能になったらすぐにデバイスを更新することをお勧めします。それまでの間、お客様は、Greengrass 1.10 または 1.11 で Stream Manager を使用するカスタム Lambda コードが、お客様のコントロールの範疇に無い任意のストリーム名とファイル名 (S3 エクスポーター用) を使用していないことを確認する必要があります (例えば、テキストの「$ {」を含むストリーム名またはファイル名)。

Amazon MQ

Amazon MQ には、この程報告された Apache Log4j2 ライブラリに関する問題 (CVE-2021-44228) に関して、Amazon MQ サービスコード (AWS 固有) とオープンソースコード (Apache ActiveMQ および RabbitMQ メッセージブローカー) の 2 つの分野の考慮事項があります。

この問題に対処するため、Amazon MQ サービスコードに必要な更新の適用を進めています。

オープンソースのメッセージブローカーは更新の必要はありません。Amazon MQ で提供される Apache ActiveMQ のすべてのバージョンは、Log4j バージョン 1.x を使用しますが、このバージョンはこの問題の影響を受けません。RabbitMQ は Log4j2 を使用していませんので、この問題の影響を受けません。

CloudFront

CloudFront サービスが更新され、CVE-2021-44228 で特定された問題が軽減されました。POP で実行される CloudFront リクエスト処理サービスは Java では記述されていないため、この問題の影響を受けませんでした。

AWS Elastic Beanstalk

AWS Elastic Beanstalk は、Amazon Linux デフォルトパッケージリポジトリから Amazon Linux 1 および Amazon Linux 2 の Tomcat プラットフォームに Log4j をインストールします。 Amazon Linux 1 および Amazon Linux 2 リポジトリで利用可能な Log4j のバージョンは、CVE-2021-44228 の影響を受けません。

アプリケーションでの Log4j の使用に構成変更を加えた場合は、アプリケーションのコードを更新するためのアクションを実行してこの問題を軽減することをお勧めします。

通常プラクティスに従い、これらのデフォルトのパッケージリポジトリバージョンのパッチが適用されたバージョンがリリースされた場合、Elastic Beanstalk は、Amazon Linux 1 および Amazon Linux 2 の次の Tomcat プラットフォームバージョンリリースにパッチが適用されたバージョンを含めます。

Amazon Linux のセキュリティ関連のソフトウェア更新の詳細は、Amazon Linux セキュリティセンターでご確認いただけます。

EMR

CVE-2021-44228 は、信頼できないソースからの入力を処理するときに、バージョン 2.0〜2.14.1 の Apache Log4j に影響を与えます。EMR 5 および EMR 6 リリースで起動された EMR クラスターには、Apache Hive、Flink、HUDI、Presto、Trino などのオープンソースフレームワークが含まれ、これらのバージョンの Apache Log4j を使用します。EMR のデフォルト構成でクラスターを起動すると、信頼できないソースからの入力は処理されません。

AWS は、EMR クラスターにインストールされたオープンソースフレームワークが信頼できないソースからの情報を処理する場合に、CVE-2021-44228 で説明されている問題を軽減する更新の構築に積極的に取り組んでいます。

Lake Formation

Lake Formation サービスホストは、CVE-2021-44228 で参照されているバージョンのセキュリティ問題に対処するために、Log4j の最新バージョンに積極的に更新されています。

S3

S3 のデータの入力と出力は、Log4j2 の問題に対してパッチが適用されます。Log4j2 パッチを、S3 のデータの入力および出力とは別に動作する S3 システムに適用するよう取り組んでいます。

AWS SDK

AWS SDK for Java はログ記録ファサードを使用し、Log4j へのランタイム依存関係はありません。AWS は、現在、この問題に関して AWS SDK for Java の変更を行う必要はないと考えています。

AMS

AWS は、この問題を積極的にモニタリングしており、Log4j2 を使用するすべての AMS のサービスでこの問題への対処を進めております。Log4j2 を含む環境を管理しているお客様には、ご利用のオペレーティングシステムのソフトウェア更新メカニズムで入手可能な最新バージョンに更新することを強くお勧めします。

AMS は、インターネットにアクセス可能なすべてのアプリケーションエンドポイントにウェブアプリケーションファイアウォール (WAF) をデプロイすることをお勧めします。AWS WAF サービスは、AWSManagedRulesAnonymousIpList ルールセット (TOR ノードなどのクライアント情報を匿名化することがわかっているソースをブロックするルールを含む) と AWSManagedRulesKnownBadInputsRuleSet ルールセット (URI、リクエストボディ、および一般的に使用されるヘッダーを検査して、Log4j やその他の問題に関連するリクエストをブロックする) をデプロイすることによりこの問題対する追加の防御層を提供するよう構成できます。

AMS は引き続きこの問題をモニタリングし、さらなる詳細情報とレコメンデーションが明らかになった際は提供します。

Amazon Neptune

Amazon Neptune には周辺機器コンポーネントとして Apache Log4j2 ライブラリが含まれていますが、この問題が Neptune ユーザーに影響を与えるとは考えられません。十分に注意を払い、Neptune クラスターは、問題を対処するバージョンの Log4j2 を使用するように自動的に更新されます。更新中に断続的な事象が発生する場合があります。

NICE

EnginFrame にバージョン 2020.0〜2021.0-r1307 に含まれる Apache Log4j ライブラリの CVE のため、NICE は、EnginFrame を最新のバージョンにアップグレードするか、サポートウェブサイトの手順に従って EnginFrame インストールの Log4j ライブラリを更新することをお勧めします。

ご質問がございましたら、お問い合わせください

Kafka

Managed Streaming for Apache Kafka は、この程報告された Apache Log4j2 ライブラリに関する問題 (CVE-2021-44228) を認識しており、必要に応じて更新を適用しています。MSK で提供されている Apache Kafka および Apache Zookeeper の構築には、現在 Log4j 1.2.17 を使用しています。このバージョンは、この問題の影響を受けません。一部の MSK 固有のサービスコンポーネントは 2.0.0 以上の Log4j ライブラリを使用し、必要に応じてパッチが適用されています。

AWS Glue

AWS Glue は、オープンソースの Apache「Log4j2」ユーティリティに関連して最近公開されたセキュリティの問題 (CVE-2021-44228) を認識しています。サポートされているすべての Glue のバージョンの AWS Glue API を提供するコントロールプレーンフリートを更新しました。

AWS Glue は、ネットワークおよび管理レベルで、AWS Glue サービスアカウント内のその他すべての Spark 環境から分離された新しい Spark 環境を作成します。お客様の ETL ジョブは、単一のテナント環境で実行されます。ETL ジョブが特定のバージョンの Apache Log4j をロードする場合は、最新バージョンの Apache Log4j を使用するようにスクリプトを更新することをお勧めします。AWS Glue 開発エンドポイントを使用してスクリプトを作成する場合は、そこで使用する Log4j バージョンも更新することをお勧めします。

AWS Glue は、サポートされているすべてのリージョンの新しい Spark 環境に積極的に更新を適用しています。ご質問がある場合、または追加のサポートが必要な場合は、AWS Support にお問い合わせください。

RDS

Amazon RDS と Amazon Aurora は、更新を適用することにより、Log4j2 のすべてのサービス使用に積極的に対応しています。RDS で構築されたリレーショナルデータベースエンジンには、Apache Log4j ライブラリは含まれていません。アップストリームのベンダーが関与している場合、推奨される緩和策を適用してまいります。内部コンポーネントの更新中に断続的な事象が発生する場合があります。

OpenSearch

Amazon OpenSearch Service は、Log4j2 の更新バージョンを含む、バージョン R20211203-P2 のサービスソフトウェアの更新をデプロイしています。この速報が全世界に公開されましたら、お客様に、お客様のリージョンで更新情報が公開されたことをお知らせし、この速報を更新します。