Amazon Web Services 한국 블로그

Apache Log4j2 보안 이슈 (CVE-2021-44228) 대응 공지

AWS에서 보안은 항상 최우선 순위입니다. 이 글은 AWS 한국 고객의 편의를 위해 Apache Log4j2 보안 이슈에 대한 AWS 보안 공지AWS 블로그 일부를 한국어로 제공합니다.

(중요) 본 공지의 한글 번역문과 영어 원문에 차이나 불일치가 있을 경우(번역의 지체로 인한 경우 등 포함), 영어 원문이 우선합니다. 업데이트 내역이 지체되는 경우도 있으므로, 반드시 영문 AWS 보안 공지을 참고하시기 바랍니다. 추가 세부 정보나 지원이 필요한 경우 AWS Support에 문의하십시오.

Apache Log4j2 이슈(CVE-2021-44228)

최초 작성일: 2021/12/10 오후 7:20 PDT (영어 원문)

AWS는 오픈 소스 Apache “Log4j2” 유틸리티(CVE-2021-44228)와 관련하여 최근에 공개된 보안 이슈를 파악하고, 적극적으로 모니터링 하면서 Log4j2 또는 서비스의 일부로 제공하는 부분에 대해 확인하고 있습니다.

Log4j2가 포함된 환경을 관리하는 고객은 https://logging.apache.org/log4j/2.x/download.html에서 최신 버전 으로 업데이트할 것을 강력히 권장하며, 또는 운영 체제의 소프트웨어 업데이트를 하시기 바랍니다. 추가 AWS 서비스별 정보는 아래와 같습니다. 추가 세부 정보나 지원이 필요한 경우 AWS Support에 문의하십시오.

Amazon EC2
Amazon Linux 2 기본 패키지 리포지토리 1.2.17-16에서 사용 가능한 Log4j2 버전은 기본 구성에서 이 문제의 영향을 받지 않습니다. 사용자 지정 Log4j 구성을 사용하는 고객을 보호하기 위해, 현재 Amazon Linux 2 패키지 리포지토리에서 업데이트된 버전의 Log4j2를 사용할 수 있도록 작업 중이며 사용 가능한 경우 고객에게 알릴 것입니다.

Amazon Linux 1 기본 패키지 리포지토리인 1.2.16-6에서 사용 가능한 Log4j2 버전은 기본 구성에서 이 문제의 영향을 받지 않습니다. 사용자 지정 Log4j 구성을 사용하는 고객을 보호하기 위해, 현재 Amazon Linux 1 패키지 리포지토리에서 업데이트된 버전의 Log4j2를 제공하는 작업을 진행 중이며 사용 가능한 경우 고객에게 알릴 것입니다.

Amazon Linux용 보안 관련 소프트웨어 업데이트에 대한 자세한 내용은 https://alas.aws.amazon.com에서 확인 할 수 있습니다.

AWS WAF/Shield
최근 Log4j 보안 문제로 인해 발생하는 위험 감지 및 완화를 개선하기 위해 AWS WAF 서비스에서 사용하는 매니지드 규칙 그룹(AMR) 중 하나인, AWSManagedRulesKnownBadInputsRuleSet을 업데이트했습니다. Amazon CloudFront, ALB(Application Load Balancer), API Gateway 및 AppSync의 고객은 AWS WAF web ACL을 생성하여 추가 방어 계층을 추가하기 위해 URI, 요청 본문 및 일반적으로 사용되는 헤더를 검사하는 완화 옵션을 즉시 활용할 수 있습니다.

AWSManagedRulesKnownBadInputsRuleSet를 Web ACL에 추가한 다음,  해당 Web ACL을 CloudFront 배포 지점, ALB, API Gateway 또는 AppSync GraphQL API와 연결하시면 됩니다.

AWS WAF 시작하기 – https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html

AMR 활성화 방법 – https://docs.aws.amazon.com/waf/latest/developerguide/waf-using-managed-rule-groups.html

AMR은 WAF Classic에서 사용할 수 없으므로 이 완화 옵션을 활용하려면 AWS WAF(wafv2)로 업그레이드하십시오.

Amazon OpenSearch Service
문제를 해결하는 “Log4j2” 신규 버전을 사용하도록 모든 Amazon OpenSearch Service 도메인을 업데이트하고 있습니다. 업데이트 프로세스 중에 도메인에서 간헐적인 활동을 관찰할 수 있습니다.

AWS Lambda
AWS Lambda는 관리형 런타임 또는 기본 컨테이너 이미지에 Log4j2를 포함하지 않습니다. 따라서 CVE-2021-44228에 설명된 문제의 영향을 받지 않습니다. 다만, 람다 함수에서 직접 aws-lambda-java-log4j2를 사용하는 고객은 해당 라이브러리를 버전 1.3.0으로 업데이트 후, 재배포 해야 합니다.

AWS CloudHSM
3.4.1 이전의 CloudHSM JCE SDK 버전에는 이 문제의 영향을 받는 Apache Log4j 버전이 포함되어 있습니다. 2021년 12월 10일 CloudHSM은 Apache Log4j의 고정 버전이 포함된 JCE SDK v3.4.1을 출시했습니다. 3.4.1 이전 버전의 CloudHSM JCE를 사용하는 경우 영향을 받을 수 있으므로 CloudHSM JCE SDK를 버전 3.4.1 이상으로 업그레이드하여 수정해야 합니다. 참고 문서 – https://docs.aws.amazon.com/cloudhsm/latest/userguide/java-library-install.html

Apache Log4j2 이슈 업데이트 (CVE-2021-44228) V1

최초 작성일: 2021/12/12 오후 7:50 PDT (영어 원문)

AWS는 오픈 소스 Apache “Log4j2” 유틸리티(CVE-2021-44228)와 관련하여 최근에 공개된 보안 문제를 파악하고, 적극적으로 모니터링 하면서 Log4j2 또는 서비스의 일부로 제공하는 부분에 대해 확인하고 있습니다.

Log4j2가 포함된 환경을 관리하는 고객은 https://logging.apache.org/log4j/2.x/download.html에서 최신 버전 으로 업데이트할 것을 강력히 권장하며, 또는 운영 체제의 소프트웨어 업데이트를 하시기 바랍니다.

8u121 또는 8u191(JDK 11 이상 포함) 이후에 JDK에서 Log4j2를 사용하면 문제가 완화되는 것으로 보고되었지만 이는 부분적인 해결일 뿐입니다. 유일한 포괄적인 솔루션은 Log4j2를 2.15로 업그레이드하는 것이며 2.15보다 오래된 Log4j2 버전은 사용된 JDK 배포 또는 버전에 관계없이 영향을 받는 것으로 간주되어야 합니다.

추가적인 AWS 서비스별 정보는 아래와 같습니다. 기타 세부 정보나 지원이 필요한 경우 AWS Support에 문의하십시오.

Amazon API Gateway
문제를 완화하는 Log4j2 버전을 사용하도록 API 게이트웨이를 업데이트하고 있습니다. 이러한 업데이트 중에 일부 API의 지연 시간이 주기적으로 증가하는 것을 관찰할 수 있습니다.

AWS IoT Greengrass
Apache Log4j2를 사용하는 모든 Greengrass V2 구성 요소에 대한 업데이트는 2021년 12월 10일부터 배포할 수 있습니다. 해당 구성 요소는 스트림 관리자(2.0.14) 및 보안 터널링(1.0.6)입니다. AWS는해당 Greengrass 구성 요소를 사용하는 고객이 자신의 디바이스에 최신 버전을 배포할 것을 권장합니다.

AWS Greengrass 버전 1.10 및 1.11에 대한 업데이트는 2021년 12월 17일에 제공될 예정입니다. 해당 장치에서 Stream Manager를 사용하는 고객은 수정된 Greengrass 바이너리를 사용할 수 있게 되는 즉시 장치를 업데이트하는 것이 좋습니다. 그 동안 해당 고객은 Greengrass 1.10 또는 1.11에서 스트림 관리자를 사용하는 사용자 지정 람다 코드가 고객이 제어할 수 없는 임의의 스트림 이름 및 파일 이름(S3 내보내기용)을 사용하지 않는지 확인해야 합니다(예: 스트림 이름 또는 파일 이름에  “${“를 포함하는 경우.)

Amazon MQ
Amazon MQ는 Apache Log4j2 라이브러리와 관련하여 최근에 공개된 문제(CVE-2021-44228)와 관련하여 Amazon MQ 서비스 코드(AWS 관련) 및 오픈 소스 코드(Apache ActiveMQ 및 RabbitMQ 메시지 브로커)의 두 가지 고려 사항 영역이 있습니다.

문제를 해결하기 위해 Amazon MQ 서비스 코드에 필수 업데이트를 적용하고 있습니다.

오픈 소스 메시지 브로커에 필요한 업데이트는 없습니다. Amazon MQ에서 제공되는 모든 버전의 Apache ActiveMQ는 이 문제의 영향을 받지 않는 Log4j 버전 1.x를 사용합니다. RabbitMQ는 Log4j2를 사용하지 않으며 이 문제의 영향을 받지 않습니다.

Amazon CloudFront
Amazon CloudFront 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다. 개별 POP에서 실행되는 CloudFront 요청 처리 서비스는 Java 언어로 작성되지 않았으므로 이 문제의 영향을 받지 않았습니다.

AWS Elastic Beanstalk
AWS Elastic Beanstalk은 Amazon Linux 1 및 Amazon Linux 2용 Tomcat 플랫폼의 Amazon Linux 기본 패키지 리포지토리에서 Log4j2를 설치합니다. 해당 버전은 아래에 나열되어 있으며 기본 구성에서 이 문제의 영향을 받지 않습니다.

Amazon Linux 2 기본 패키지 리포지토리 1.2.17-16에서 사용 가능한 Log4j2 버전은 기본 구성에서 이 문제의 영향을 받지 않습니다.

Amazon Linux 1 기본 패키지 리포지토리인 1.2.16-6에서 사용 가능한 Log4j2 버전은 기본 구성에서 이 문제의 영향을 받지 않습니다.

애플리케이션의 Log4j2 사용에 대한 구성을 변경한 경우, 이 문제를 시작하기 위해 애플리케이션 코드를 업데이트하는 조치를 취하는 것이 좋습니다. 일반적인 배포 방식에 따라 해당 기본 패키지 리포지토리 버전의 패치 버전이 릴리스되면 Elastic Beanstalk는 Amazon Linux 1 및 Amazon Linux 2용 다음 ​​Tomcat 플랫폼 버전 릴리스에 패치 버전을 포함합니다. Amazon Linux용 보안 관련 소프트웨어 업데이트에 대한 자세한 내용은 https://alas.aws.amazon.com에서 확인 할 수 있습니다.

Amazon EMR
CVE-2021-44228 취약점은 신뢰할 수 없는 소스의 입력을 처리할 때, 2.0에서 2.14.1 사이의 Apache log4j 버전에 영향을 줍니다. Amazon EMR 5 및 EMR 6 릴리스와 함께 출시된 EMR 클러스터에는 Apache Log4j의 이러한 버전을 사용하는 Apache Hive, Flink, HUDI, Presto 및 Trino와 같은 오픈 소스 프레임워크가 포함됩니다. EMR의 기본 구성으로 클러스터를 시작하면 신뢰할 수 없는 소스의 입력을 처리하지 않습니다.

단, EMR 클러스터에 설치된 오픈 소스 프레임워크가 신뢰할 수 없는 소스의 정보를 처리할 때 CVE-2021-44228에서 논의된 문제를 완화하는 업데이트를 구축하기 위해 적극적으로 노력하고 있습니다.

AWS LakeFormation
AWS Lake Formation 서비스 호스트는 CVE-2021-44228에서 참조된 버전의 문제를 해결하기 위해 최신 버전의 Log4j로 사전에 업데이트되고 있습니다.

Amazon S3
Amazon S3의 데이터 수신 및 송신은 Log4j2 문제에 대해 패치되었습니다. S3의 데이터 수신 및 송신과 별도로 작동하는 S3 시스템에 Log4j2 패치를 적용하기 위해 노력하고 있습니다.

AWS SDK
Java용 AWS SDK는 Logging Facade를 사용하며, Log4j에 대한 런타임 종속성이 없습니다. 현재 이 문제와 관련하여 Java용 AWS SDK를 변경할 필요가 없습니다.

AWS Managed Services (AMS)
우리는 이 문제를 적극적으로 모니터링하고 있으며 Log4j2를 사용하는 모든 AWS Managed Services(AMS) 서비스에 대해 해결하기 위해 노력하고 있습니다. Log4j2가 포함된 환경을 관리하는 고객은 https://logging.apache.org/log4j/2.x/download.html에서 최신 버전 으로 업데이트할 것을 강력히 권장하며, 또는 운영 체제의 소프트웨어 업데이트를 하시기 바랍니다.

AMS는 인터넷에 액세스할 수 있는 모든 애플리케이션 엔드포인트에 대해 AWS WAF web ACL을 배포할 것을 권장합니다. AWS WAF 서비스는 AWSManagedRulesAnonymousIpList 규칙 세트(TOR 노드와 같은 클라이언트 정보를 익명화하는 것으로 알려진 소스를 차단하는 규칙 포함) 및 AWSManagedRulesKnownBadInputsRuleSet 규칙 세트를 배포하여 이 문제에 대한 추가 방어 계층을 제공하도록 구성할 수 있습니다. URI, 요청 본문 및 일반적으로 사용되는 헤더를 검사하여 Log4j 및 기타 문제와 관련된 요청을 차단하는 데 도움이 됩니다.

AMS는 이 문제를 계속 모니터링하고 사용 가능한 추가 세부 정보와 권장 사항을 제공할 것입니다.

Amazon Neptune
Amazon Neptune에는 Apache Log4j2 라이브러리가 주변 구성 요소로 포함되어 있지만, 해당 문제는 Neptune 사용자에게 영향을 미치지 않습니다. 세심하게 Neptune 클러스터는 문제를 해결하는 Log4j2 버전을 사용하도록 자동으로 업데이트됩니다. 고객은 업데이트 중에 간헐적인 이벤트를 관찰할 수 있습니다.

NICE
CVE-2021-44228 로 인해, NICE에 EnginFrame이 포함된 2020.0에서 2021.0-r1307 버전은 최신 버전으로 업그레이드할 것을 권장합니다. 해당 EnginFrame 버전은 웹사이트에서 업데이트하거나 지원 웹사이트 의 지침에 따라 EnginFrame 설치에서 Log4J 라이브러리를 업데이트하시기바랍니다

자세한 것은 웹 사이트를 통해 언제든지 문의하십시오.

Amazon Managed Streaming for Apache Kafka (Amazon MSK)
Amazon Managed Streaming for Apache Kafka는 Apache log4j2 라이브러리와 관련하여 최근에 공개된 문제(CVE-2021-44228)를 알고 있으며 필요에 따라 업데이트를 적용하고 있습니다. Amazon MSK에서 제공되는 Apache Kafka 및 Apache Zookeeper 빌드는 현재 Log4j 1.2.17을 사용하며 이 문제의 영향을 받지 않습니다. 일부 MSK 특정 서비스 구성 요소는 log4j > 2.0.0 라이브러리를 사용하며 필요한 경우 패치되고 있습니다.

AWS Glue
AWS Glue는 오픈 소스 Apache “Log4j2” 유틸리티(CVE-2021-44228)와 관련하여 최근에 공개된 보안 문제를 알고 있습니다. 지원되는 모든 Glue 버전에 대해 AWS Glue API를 제공하는 제어 플레인 집합을 업데이트했습니다.

AWS Glue는 AWS Glue 서비스 계정 내의 다른 모든 Spark 환경과 네트워크 및 관리 수준에서 격리된 새로운 Spark 환경을 생성합니다. ETL 작업은 단일 테넌트 환경에서 실행됩니다. ETL 작업이 Apache Log4j의 특정 버전을 로드하는 경우, 최신 버전의 Apache Log4j를 사용하도록 스크립트를 업데이트하는 것을 권장합니다. AWS Glue 개발 엔드포인트를 사용하여 스크립트를 작성하는 경우 거기에서 사용하는 Log4j 버전도 업데이트하는 것을 권장합니다.

또한, AWS Glue는 지원되는 모든 리전에서 새로운 Spark 환경에 업데이트를 사전에 적용하고 있습니다. 질문이 있거나 추가 지원이 필요한 경우 AWS Support를 통해 문의하십시오.

Amazon RDS
Amazon RDS와 Amazon Aurora는 업데이트를 적용하여 사용 중인 Log4j2의 부분을 적극적으로 해결하고 있습니다. RDS 기반 관계형 데이터베이스 엔진에는 Apache Log4j 라이브러리가 포함되어 있지 않습니다. 업스트림 공급업체가 관련된 경우, 권장되는 완화 조치를 적용합니다. AWS 고객은 내부 구성 요소를 업데이트하는 동안 간헐적인 이벤트를 관찰할 수 있습니다.

Amazon OpenSearch Service 업데이트
Amazon OpenSearch Service는 Log4j2의 업데이트된 버전이 포함된 서비스 소프트웨어 업데이트 버전 R20211203-P2를 배포하고 있습니다. 해당 지역에서 업데이트가 제공되는 대로 고객에게 알리고 이 게시판이 전 세계적으로 제공되면 업데이트합니다.

Apache Log4j2 이슈 업데이트 (CVE-2021-44228) V2

최초 작성일: 2021/12/13 오후 1:42 PDT (영어 원문)

AWS는 오픈 소스 Apache “Log4j2” 유틸리티(CVE-2021-44228)와 관련하여 최근에 공개된 보안 문제를 파악하고, 적극적으로 모니터링 하면서 Log4j2 또는 서비스의 일부로 제공하는 부분에 대해 확인하고 있습니다.

Log4j2가 포함된 환경을 관리하는 고객은 https://logging.apache.org/log4j/2.x/download.html에서 최신 버전 으로 업데이트할 것을 강력히 권장하며, 또는 운영 체제의 소프트웨어 업데이트를 하시기 바랍니다.

추가적인 AWS 서비스별 정보는 아래와 같습니다. 기타 세부 정보나 지원이 필요한 경우 AWS Support에 문의하십시오.

Amazon S3
S3는 2021년 12월 11일에 S3의 데이터 수신 및 송신에 대한 Apache Log4j2 문제(CVE-2021-44228) 패치를 완료했습니다. 또한 Log4j2를 사용하는 다른 모든 S3 시스템의 패치도 완료했습니다.

Amazon OpenSeaech Service
Amazon OpenSearch Service는 Log4j2의 업데이트된 버전이 포함된 서비스 소프트웨어 업데이트 버전 R20211203-P2를 배포하고 있습니다. 해당 리전에서 업데이트가 제공되는 대로 고객에게 알리고, 이 글에 전 세계적으로 제공되면 업데이트합니다.

AWS Lambda
AWS Lambda는 관리형 런타임 또는 기본 컨테이너 이미지에 Log4j2를 포함하지 않습니다. 따라서 CVE-2021-44228에 설명된 문제의 영향을 받지 않습니다. 람다 함수에서 aws-lambda-java-log4j2를 사용하는 고객은 라이브러리를 https://repo1.maven.org/maven2/com/amazonaws/aws-lambda-java-log4j2/ 에서 버전 1.3.0으로 업데이트 후 재배포해야 합니다.

AWS CloudHSM
3.4.1 이전의 CloudHSM JCE SDK 버전에는 이 문제의 영향을 받는 Apache Log4j 버전이 포함되어 있습니다. 2021년 12월 10일 CloudHSM은 Apache Log4j의 고정 버전이 포함된 JCE SDK v3.4.1을 출시했습니다. 3.4.1 이전 버전의 CloudHSM JCE를 사용하는 경우 영향을 받을 수 있으므로 CloudHSM JCE SDK를 버전 3.4.1 이상으로 업그레이드하여 수정해야 합니다. 참고 문서 – https://docs.aws.amazon.com/cloudhsm/latest/userguide/java-library-install.html

Amazon EC2
Amazon Linux 1 및 Amazon Linux 2 리포지토리에서 사용 가능한 Log4j 버전은 더 이상 CVE-2021-44228의 영향을 받지 않습니다. Amazon Linux의 보안 관련 소프트웨어 업데이트에 대한 자세한 내용은 https://alas.aws.amazon.com에서 확인할 수 있습니다.

Amazon API Gateway
문제를 완화하는 Log4j2 버전을 사용하도록 전체 API 게이트웨이를 업데이트하고 있습니다. 이러한 업데이트 중에 일부 API의 지연 시간이 주기적으로 증가하는 것을 관찰할 수 있습니다.

AWS IoT Greengrass
Log4j를 사용하는 모든 Greengrass V2 구성 요소에 대한 업데이트는 2021년 12월 10일부터 배포할 수 있습니다. 이러한 구성 요소는 스트림 관리자(2.0.14) 및 보안 터널링(1.0.6)입니다. AWS는 이러한 Greengrass 구성 요소를 사용하는 고객이 자신의 디바이스에 최신 버전을 배포할 것을 권장합니다.

AWS Greengrass 버전 1.10.x 및 1.11.x의 스트림 관리자 기능은 Log4j를 사용합니다. Stream Manager 기능에 대한 업데이트는 Greengrass 패치 버전 1.10.5 및 1.11.5에 포함되어 있으며, 둘 다 2021년 12월 12일부터 사용할 수 있습니다. 디바이스에서 Stream Manager를 활성화한(또는 향후 활성화할 수 있는) 버전 1.10.x 및 1.11.x를 사용하는 고객은 장치를 최신 버전으로 업데이트하는 것이 좋습니다.

Amazon CloudFront
Amazon CloudFront 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다. 개별 POP에서 실행되는 CloudFront 요청 처리 서비스는 Java 언어로 작성되지 않았으므로 이 문제의 영향을 받지 않았습니다.

AWS Elastic Beanstalk
AWS Elastic Beanstalk는 Amazon Linux 1 및 Amazon Linux 2용 Tomcat 플랫폼의 Amazon Linux 기본 패키지 리포지토리에서 Log4j를 설치합니다. Amazon Linux 1 및 Amazon Linux 2 리포지토리에서 사용 가능한 Log4j 버전은 더 이상 CVE-2021-44228의 영향을 받지 않습니다.

애플리케이션의 Log4j2 사용에 대한 구성을 변경한 경우, 이 문제를 시작하기 위해 애플리케이션 코드를 업데이트하는 조치를 취하는 것이 좋습니다. 일반적인 배포 방식에 따라 해당 기본 패키지 리포지토리 버전의 패치 버전이 릴리스되면 Elastic Beanstalk는 Amazon Linux 1 및 Amazon Linux 2용 다음 ​​Tomcat 플랫폼 버전 릴리스에 패치 버전을 포함합니다. Amazon Linux용 보안 관련 소프트웨어 업데이트에 대한 자세한 내용은 https://alas.aws.amazon.com에서 확인 할 수 있습니다.

Amazon EMR
CVE-2021-44228 취약점은 신뢰할 수 없는 소스의 입력을 처리할 때, 2.0에서 2.14.1 사이의 Apache log4j 버전에 영향을 줍니다. Amazon EMR 5 및 EMR 6 릴리스와 함께 출시된 EMR 클러스터에는 Apache Log4j의 이러한 버전을 사용하는 Apache Hive, Flink, HUDI, Presto 및 Trino와 같은 오픈 소스 프레임워크가 포함됩니다. EMR의 기본 구성으로 클러스터를 시작하면 신뢰할 수 없는 소스의 입력을 처리하지 않습니다.

단, EMR 클러스터에 설치된 오픈 소스 프레임워크가 신뢰할 수 없는 소스의 정보를 처리할 때 CVE-2021-44228에서 논의된 문제를 완화하는 업데이트를 구축하기 위해 적극적으로 노력하고 있습니다.

AWS LakeFormation
AWS Lake Formation 서비스 호스트는 CVE-2021-44228에서 참조된 버전의 문제를 해결하기 위해 최신 버전의 Log4j로 사전에 업데이트되고 있습니다.

AWS SDK
Java용 AWS SDK는 Logging Facade를 사용하며, Log4j에 대한 런타임 종속성이 없습니다. 현재 이 문제와 관련하여 Java용 AWS SDK를 변경할 필요가 없습니다.

AWS Managed Services (AMS)
우리는 이 문제를 적극적으로 모니터링하고 있으며 Log4j2를 사용하는 모든 AWS Managed Services (AMS) 서비스에 대해 해결하기 위해 노력하고 있습니다. Log4j2가 포함된 환경을 관리하는 고객은 https://logging.apache.org/log4j/2.x/download.html에서 최신 버전 으로 업데이트할 것을 강력히 권장하며, 또는 운영 체제의 소프트웨어 업데이트를 하시기 바랍니다.

Amazon Neptune
Amazon Neptune에는 Apache Log4j2 라이브러리가 주변 구성 요소로 포함되어 있지만, 해당 문제는 Neptune 사용자에게 영향을 미치지 않습니다. 세심하게 Neptune 클러스터는 문제를 해결하는 Log4j2 버전을 사용하도록 자동으로 업데이트됩니다. 고객은 업데이트 중에 간헐적인 이벤트를 관찰할 수 있습니다.

NICE
CVE-2021-44228 로 인해, NICE에 EnginFrame이 포함된 2020.0에서 2021.0-r1307 버전은 최신 버전으로 업그레이드할 것을 권장합니다. 해당 EnginFrame 버전은 웹사이트에서 업데이트하거나 지원 웹사이트 의 지침에 따라 EnginFrame 설치에서 Log4J 라이브러리를 업데이트하시기바랍니다

자세한 것은 웹 사이트를 통해 언제든지 문의하십시오.

Amazon Managed Streaming for Apache Kafka (Amazon MSK)
Amazon Managed Streaming for Apache Kafka는 Apache log4j2 라이브러리와 관련하여 최근에 공개된 문제(CVE-2021-44228)를 알고 있으며 필요에 따라 업데이트를 적용하고 있습니다. Amazon MSK에서 제공되는 Apache Kafka 및 Apache Zookeeper 빌드는 현재 Log4j 1.2.17을 사용하며 이 문제의 영향을 받지 않습니다. 일부 MSK 특정 서비스 구성 요소는 log4j > 2.0.0 라이브러리를 사용하며 필요한 경우 패치되고 있습니다.

AWS Glue
AWS Glue는 오픈 소스 Apache “Log4j2” 유틸리티(CVE-2021-44228)와 관련하여 최근에 공개된 보안 문제를 알고 있습니다. 지원되는 모든 Glue 버전에 대해 AWS Glue API를 제공하는 제어 플레인 집합을 업데이트했습니다.

AWS Glue는 AWS Glue 서비스 계정 내의 다른 모든 Spark 환경과 네트워크 및 관리 수준에서 격리된 새로운 Spark 환경을 생성합니다. ETL 작업은 단일 테넌트 환경에서 실행됩니다. ETL 작업이 Apache Log4j의 특정 버전을 로드하는 경우, 최신 버전의 Apache Log4j를 사용하도록 스크립트를 업데이트하는 것을 권장합니다. AWS Glue 개발 엔드포인트를 사용하여 스크립트를 작성하는 경우 거기에서 사용하는 Log4j 버전도 업데이트하는 것을 권장합니다.

또한, AWS Glue는 지원되는 모든 리전에서 새로운 Spark 환경에 업데이트를 사전에 적용하고 있습니다. 질문이 있거나 추가 지원이 필요한 경우 AWS Support를 통해 문의하십시오.

Amazon RDS
Amazon RDS와 Amazon Aurora는 업데이트를 적용하여 사용 중인 Log4j2의 부분을 적극적으로 해결하고 있습니다. RDS 기반 관계형 데이터베이스 엔진에는 Apache Log4j 라이브러리가 포함되어 있지 않습니다. 업스트림 공급업체가 관련된 경우, 권장되는 완화 조치를 적용합니다. AWS 고객은 내부 구성 요소를 업데이트하는 동안 간헐적인 이벤트를 관찰할 수 있습니다.

Amazon Connect
Amazon Connect 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon DynamoDB
CVE-2021-44228에서 식별된 문제를 완화하기 위해 Amazon DynamoDB 및 Amazon DynamoDB Accelerator(DAX)가 업데이트되었습니다.

Amazon DynamoDB는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon DynamoDB Accelerator(DAX)가 업데이트되어 CVE-2021-44228에서 식별된 문제를 완화했습니다.

Amazon Keyspaces (Apache Cassandra용)
Amazon Keyspaces(Apache Cassandra용)는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon MQ
Amazon MQ는 Apache log4j2 라이브러리와 관련하여 최근에 공개된 문제(CVE-2021-44228)와 관련하여 Amazon MQ 서비스 코드(AWS 전용) 및 오픈 소스 코드(Apache ActiveMQ 및 RabbitMQ 메시지 브로커)의 두 가지 고려 사항 영역이 있습니다.

2021년 12월 13일부로 문제를 해결하기 위해 Amazon MQ 서비스 코드에 대한 모든 필수 업데이트를 완료했습니다.

운영 중인 오픈 소스 메시지 브로커에 필요한 업데이트 사항은 없습니다. Amazon MQ에서 제공되는 모든 Apache ActiveMQ 버전은 이 문제의 영향을 받지 않는 log4j 버전 1.2.x를 사용합니다. RabbitMQ는 log4j를 사용하지 않으며 이 문제의 영향을 받지 않습니다.

Amazon Kinesis Data Analytics
Amazon Kinesis Data Analytics이 지원하는 Apache Flink 버전에는 Apache Log4j 버전 2.0~2.14.1이 포함됩니다. Kinesis Data Analytics 애플리케이션은 단일 테넌트의 격리된 환경에서 작동하며 서로 상호 작용할 수 없습니다. 즉, 특정 고객이 다른 고객의 애플리케이션과 상호 작용할 수 없습니다.

모든 AWS 리전의 Kinesis Data Analytics 고객 애플리케이션에서 최신 Log4j 버전을 업데이트하고 있습니다. 2021년 12월 12일 오후 6시 30분(PST) 이후 시작되거나 업데이트된 애플리케이션은 업데이트된 패치를 자동으로 받게 됩니다.

Apache Log4j2 이슈 업데이트 (CVE-2021-44228) V3

최초 작성일:2021/12/14 오후 2:45 PST (영어 원문)

AWS는 오픈 소스 Apache “Log4j2” 유틸리티(CVE-2021-44228)와 관련하여 최근에 공개된 보안 문제를 알고 있습니다.

해당 보안 문제에 대응하기 위해, 고객 데이터 및 워크로드의 보안을 유지하는 데 매우 중요한 여러 계층의 방어 기술을 보유하고 있습니다. 저희는 이 문제를 매우 심각하게 받아들이고 있으며 세계적 수준의 엔지니어 팀이 관련 대응 및 문제 해결을 위해 24시간 내내 노력하고 있습니다. 이를 통해 완전한 방어 상태를 심층적으로 신속하게 복구할 것으로 기대합니다.

저희는 고객이 이와 같은 알려진 문제를 패치하여 모든 애플리케이션과 서비스를 업데이트하고 잘 구성된 지침을 계속 따르도록 조치를 취할 것을 계속 권장드립니다.

추가적인 AWS 서비스별 정보는 아래와 같습니다. 기타 세부 정보나 지원이 필요한 경우 AWS Support에 문의하십시오.

Amazon API Gateway
2021년 12월 13일부로 모든 Amazon API Gateway 호스트가 패치되어 CVE-2021-44228에 언급된 Log4j 문제를 완화했습니다.

Amazon CloudFront
Amazon CloudFront 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다. 개별 POP에서 실행되는 CloudFront 요청 처리 서비스는 Java 언어로 작성되지 않았으므로 이 문제의 영향을 받지 않았습니다.

Amazon Connect
Amazon Connect 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon DynamoDB
CVE-2021-44228에서 식별된 문제를 완화하기 위해 Amazon DynamoDB 및 Amazon DynamoDB Accelerator(DAX)가 업데이트되었습니다.

Amazon EC2
Amazon Linux 1 및 Amazon Linux 2 리포지토리에서 사용 가능한 Log4j 버전은 CVE-2021-44228의 영향을 받지 않습니다. Amazon Linux의 보안 관련 소프트웨어 업데이트에 대한 자세한 내용은 Amazon Linux Security Center 에서 확인할 수 있습니다.

Amazon ElastiCache
Amazon ElastiCache의 Redis 엔진은 관리형 런타임 또는 기본 컨테이너 이미지에 Log4j2를 포함하지 않습니다. Amazon ElastiCache는 2021년 12월 12일에 Apache Log4j2 문제(CVE-2021-44228) 패치를 완료했습니다.

Amazon EMR
CVE-2021-44228 취약점은 신뢰할 수 없는 소스의 입력을 처리할 때, 2.0에서 2.14.1 사이의 Apache log4j 버전에 영향을 줍니다. Amazon EMR 5 및 EMR 6 릴리스와 함께 출시된 EMR 클러스터에는 Apache Log4j의 이러한 버전을 사용하는 Apache Hive, Flink, HUDI, Presto 및 Trino와 같은 오픈 소스 프레임워크가 포함됩니다. EMR의 기본 구성으로 클러스터를 시작하면 신뢰할 수 없는 소스의 입력을 처리하지 않습니다.

단, EMR 클러스터에 설치된 오픈 소스 프레임워크가 신뢰할 수 없는 소스의 정보를 처리할 때 CVE-2021-44228에서 논의된 문제를 완화하는 업데이트를 구축하기 위해 적극적으로 노력하고 있습니다.

AWS IoT SiteWise Edge
Log4j를 사용하는 모든 AWS IoT SiteWise Edge 구성 요소에 대한 업데이트는 2021년 12월 13일에 배포할 수 있게 되었습니다. 이러한 구성 요소는 OPC-UA 수집기(v2.0.3), 데이터 처리 팩(v2.0.14) 및 게시자(v2.0.2)입니다. AWS는 이러한 구성 요소를 사용하는 고객이 SiteWise Edge 게이트웨이에 최신 버전을 배포할 것을 권장합니다.

Amazon Keyspaces (for Apache Cassandra)
Amazon Keyspaces(Apache Cassandra용)는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon Kinesis Data Analytics
Amazon Kinesis Data Analytics이 지원하는 Apache Flink 버전에는 Apache Log4j 버전 2.0~2.14.1이 포함됩니다. Kinesis Data Analytics 애플리케이션은 단일 테넌트의 격리된 환경에서 작동하며 서로 상호 작용할 수 없습니다.

모든 AWS 리전의 Kinesis Data Analytics 고객 애플리케이션에서 사용할 수 있는 Log4j 버전을 업데이트하고 있습니다. 2021년 12월 12일 오후 6시 30분(PST) 이후 시작되거나 업데이트된 애플리케이션은 업데이트된 패치를 자동으로 받게 됩니다. 그 이전에 애플리케이션을 시작하거나 업데이트한 고객은 Kinesis Data Analytics UpdateApplication API를 호출하여 업데이트된 버전의 Log4j에서 애플리케이션이 실행되도록 할 수 있습니다. UpdateApplication API에 대한 자세한 내용은 설명서에서 확인할 수 있습니다.

Amazon Kinesis Data Stream
업데이트를 적용하여 Log4j2를 사용하는 모든 하위 시스템을 적극적으로 패치하고 있습니다. Kinesis Client Library(KCL) 버전 2.X 및 Kinesis Producer Library(KPL)는 영향을 받지 않습니다. KCL 1.x를 사용하는 고객을 위해 업데이트된 버전을 출시했으며 모든 KCL 버전 1.x 고객은 사용할 수 있는 KCL 버전 1.14.5(또는 그 이상)로 업그레이드할 것을 강력히 권장합니다.

Amazon Managed Streaming for Apache Kafka (MSK)
우리는 Apache Log4j2 라이브러리와 관련하여 최근에 공개된 문제(CVE-2021-44228)를 인지하고 있으며 필요에 따라 업데이트를 적용하고 있습니다. MSK에서 제공되는 Apache Kafka 및 Apache Zookeeper 빌드는 현재 Log4j 1.2.17을 사용하며 이 문제의 영향을 받지 않습니다. 일부 MSK 관련 서비스 구성 요소는 Log4j > 2.0.0 라이브러리를 사용하며 필요한 경우 패치되고 있습니다.

Amazon Managed Workflows for Apache Airflow (MWAA)
MWAA는 Apache Log4j2 라이브러리와 관련하여 최근에 공개된 문제(CVE-2021-44228)와 관련하여 Amazon MWAA 서비스 코드(AWS 관련) 및 오픈 소스 코드(Apache Airflow)의 두 가지 고려 사항 영역이 있습니다.

2021년 12월 14일부로 문제를 해결하기 위해 MWAA 서비스 코드에 필요한 모든 업데이트를 완료했습니다. Apache Airflow는 Log4j2를 사용하지 않으며 이 문제의 영향을 받지 않습니다.

Log4j2를 환경에 추가한 고객은 최신 버전으로 업데이트할 것을 강력히 권장합니다.

Amazon MemoryDB for Redis
Amazon MemoryDB for Redis는 2021년 12월 12일에 Apache Log4j2 문제(CVE-2021-44228) 패치를 완료했습니다.

Amazon MQ
Amazon MQ는 Apache log4j2 라이브러리와 관련하여 최근에 공개된 문제(CVE-2021-44228)와 관련하여 Amazon MQ 서비스 코드(AWS 전용) 및 오픈 소스 코드(Apache ActiveMQ 및 RabbitMQ 메시지 브로커)의 두 가지 고려 사항 영역이 있습니다.

2021년 12월 13일부로 문제를 해결하기 위해 Amazon MQ 서비스 코드에 대한 모든 필수 업데이트를 완료했습니다.

운영 중인 오픈 소스 메시지 브로커에 필요한 업데이트 사항은 없습니다. Amazon MQ에서 제공되는 모든 Apache ActiveMQ 버전은 이 문제의 영향을 받지 않는 log4j 버전 1.2.x를 사용합니다. RabbitMQ는 log4j를 사용하지 않으며 이 문제의 영향을 받지 않습니다.

Amazon Neptune
모든 활성 Amazon Neptune 클러스터는 CVE-2021-44228에서 식별된 문제를 완화하기 위해 자동으로 업데이트되었습니다.

Amazon OpenSearch Service
Amazon OpenSearch Service는 모든 리전에서 업데이트된 버전의 Log4j2가 포함된 중요 서비스 소프트웨어 업데이트인 R20211203-P2를 출시했습니다. 고객은 가능한 한 빨리 OpenSearch 클러스터를 해당 버전으로 업데이트하는 것을 권장합니다. Amazon OpenSearch 서비스 소프트웨어 업데이트에 대한 자세한 내용을 참고하세요.

Amazon RDS
Amazon RDS와 Amazon Aurora는 업데이트를 적용하여 사용 중인 Log4j2의 부분을 적극적으로 해결하고 있습니다. RDS 기반 관계형 데이터베이스 엔진에는 Apache Log4j 라이브러리가 포함되어 있지 않습니다. 업스트림 공급업체가 관련된 경우, 권장되는 완화 조치를 적용합니다. AWS 고객은 내부 구성 요소를 업데이트하는 동안 간헐적인 이벤트를 관찰할 수 있습니다.

Amazon S3
Amazon S3는 2021년 12월 11일에 S3의 데이터 수신 및 송신에 대한 Apache Log4j2 문제(CVE-2021-44228) 패치를 완료했습니다. 또한 Log4j2를 사용하는 다른 모든 S3 시스템의 패치도 완료했습니다.

Amazon Simple Notification Service(SNS)
고객 트래픽을 처리하는 Amazon SNS 시스템은 Log4j2 문제에 대해 패치를 완료했습니다. 고객 트래픽을 처리하는 SNS 시스템과 별도로 운영되는 하위 시스템에 Log4j2 패치를 적용하기 위해 노력하고 있습니다.

Amazon Simple Workflow Service(SWF)
Amazon Simple Workflow Service(SWF)는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

AWS CloudHSM
3.4.1 이전의 AWS CloudHSM JCE SDK 버전에는 이 문제의 영향을 받는 Apache Log4j 버전이 포함되어 있습니다. 2021년 12월 10일 CloudHSM은 Apache Log4j의 고정 버전이 포함된 JCE SDK v3.4.1을 출시했습니다. 3.4.1 이전의 CloudHSM JCE 버전을 사용하는 경우 영향을 받을 수 있으며 CloudHSM JCE SDK 를 버전 3.4.1 이상으로 업그레이드하여 문제를 완화해야 합니다.

AWS Elastic Beanstalk
AWS Elastic Beanstalk는 Amazon Linux 1 및 Amazon Linux 2용 Tomcat 플랫폼의 Amazon Linux 기본 패키지 리포지토리에서 Log4j를 설치합니다. Amazon Linux 1 및 Amazon Linux 2 리포지토리에서 사용 가능한 Log4j 버전은 CVE-2021-44228의 영향을 받지 않습니다.

애플리케이션의 Log4j 사용에 대한 구성을 변경한 경우 이 문제를 완화하기 위해 애플리케이션 코드를 업데이트하는 조치를 취하는 것이 좋습니다.

일반적인 배포 방식에 따라 해당 기본 패키지 리포지토리 버전의 패치 버전이 릴리스되면 Elastic Beanstalk는 Amazon Linux 1 및 Amazon Linux 2용 다음 Tomcat 플랫폼 버전 릴리스에 패치 버전을 포함합니다.

Amazon Linux의 보안 관련 소프트웨어 업데이트에 대한 자세한 내용은 Amazon Linux Security Center에서 확인할 수 있습니다.

AWS Glue
AWS Glue는 오픈 소스 Apache “Log4j2” 유틸리티(CVE-2021-44228)와 관련하여 최근에 공개된 보안 문제를 알고 있습니다. 지원되는 모든 Glue 버전에 대해 AWS Glue API를 제공하는 제어 플레인 집합을 업데이트했습니다.

AWS Glue는 AWS Glue 서비스 계정 내의 다른 모든 Spark 환경과 네트워크 및 관리 수준에서 격리된 새로운 Spark 환경을 생성합니다. ETL 작업은 단일 테넌트 환경에서 실행됩니다. 특정 버전의 Apache Log4j가 포함된 개발 엔드포인트 또는 ETL 작업에 사용할 사용자 지정 jar 파일을 업로드한 경우 최신 버전의 Apache Log4j를 사용하도록 jar를 업데이트하는 것이 좋습니다.

또한 AWS Glue는 지원되는 모든 리전에서 새로운 Spark 환경에 업데이트를 사전에 적용하고 있습니다. 질문이 있거나 추가 지원이 필요한 경우 AWS Support에 문의하십시오.

AWS Greengrass
Log4j를 사용하는 모든 AWS Greengrass V2 구성 요소에 대한 업데이트는 2021년 12월 10일부터 배포할 수 있습니다. 이러한 구성 요소는 스트림 관리자(2.0.14) 및 보안 터널링(1.0.6)입니다. AWS는 이러한 Greengrass 구성 요소를 사용하는 고객이 자신의 디바이스에 최신 버전을 배포할 것을 권장합니다.

Greengrass 버전 1.10.x 및 1.11.x의 스트림 관리자 기능은 Log4j를 사용합니다. Stream Manager 기능에 대한 업데이트는 Greengrass 패치 버전 1.10.5 및 1.11.5에 포함되어 있으며 둘 다 2021년 12월 12일부터 사용할 수 있습니다. 장치에서 Stream Manager를 활성화한(또는 향후 활성화할 수 있는) 버전 1.10.x 및 1.11.x를 사용하는 고객은 장치를 최신 버전으로 업데이트하는 것이 좋습니다.

AWS Lake Formation
AWS Lake Formation 서비스 호스트는 CVE-2021-44228에서 참조된 버전 문제를 해결하기 위해 최신 버전의 Log4j로 업데이트되고 있습니다.

AWS Lambda
AWS Lambda는 관리형 런타임 또는 기본 컨테이너 이미지에 Log4j2를 포함하지 않습니다. 따라서 CVE-2021-44228에 설명된 문제의 영향을 받지 않습니다. 람다 함수에서 aws-lambda-java-log4j2를 사용하는 고객은 라이브러리를 버전 1.3.0으로 업데이트 후 재배포해야 합니다.

AWS SDK
Java용 AWS SDK는 Logging Facade를 사용하며, Log4j에 대한 런타임 종속성이 없습니다. 현재 이 문제와 관련하여 Java용 AWS SDK를 변경할 필요가 없습니다.

AWS Step Functions
AWS Step Functions는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

AWS WAF/Shield
최근 Log4j 보안 문제와 관련된 탐지 및 완화를 개선하기 위해 CloudFront, Application Load Balancer(ALB), API Gateway 및 AppSync 고객은 선택적으로 AWS WAF를 활성화하고 두 가지 AWS 관리형 규칙(AMR)인 AWSManagedRulesKnownBadInputsRuleSet 및 AWSManagedRulesAnonymousIpList를 적용할 수 있습니다.

AWSManagedRulesKnownBadInputsRuleSet는 요청 URI, 본문 및 일반적으로 사용되는 헤더를 검사하는 반면 AWSManagedRulesAnonymousIpList는 최종 사용자 ID의 난독화를 허용하는 서비스의 요청을 차단하는 데 도움이 됩니다. AWS WAF web ACL을 생성하고 web ACL에 하나 또는 두 개의 규칙 세트를 추가한 다음, web ACL을 CloudFront 배포, ALB, API Gateway 또는 AppSync GraphQL API와 연결하여 이러한 규칙을 적용할 수 있습니다.

AWSManagedRulesKnownBadInputsRuleSet 규칙 그룹을 계속 업데이트 중이며, AWSManagedRulesKnownBadInputsRuleSet에 대한 자동 업데이트를 수신하려면 기본 버전을 선택하십시오. AWS WAF Classic을 사용하는 고객의 경우 AWS WAF로 마이그레이션하거나 사용자 지정 정규식 일치 조건을 생성해야 합니다. 추가적인 정보는 마이그레이션에 대한 정보를 참고하세요.

고객은 AWS Firewall Manager를 사용하여 한 곳에서 여러 AWS 계정 및 리소스에 걸쳐 AWS WAF 규칙을 구성할 수 있습니다. 규칙을 그룹화하고, 정책을 구축하고, 전체 인프라에 걸쳐 이러한 정책을 중앙에서 적용할 수 있습니다.

NICE
CVE-2021-44228 로 인해, NICE에 EnginFrame이 포함된 2020.0에서 2021.0-r1307 버전은 최신 버전으로 업그레이드할 것을 권장합니다. 해당 EnginFrame 버전은 웹사이트에서 업데이트하거나 지원 웹사이트 의 지침에 따라 EnginFrame 설치에서 Log4J 라이브러리를 업데이트하시기바랍니다

자세한 것은 웹 사이트를 통해 언제든지 문의하십시오.

Apache Log4j2 이슈 업데이트 (CVE-2021-44228) V4

최초 작성일:2021/12/15 3:30 PM PST (영어 원문)

AWS는 오픈 소스 Apache “Log4j2” 유틸리티(CVE-2021-44228)와 관련하여 최근에 공개된 보안 문제를 알고 있습니다.

해당 보안 문제에 대응하기 위해, 고객 데이터 및 워크로드의 보안을 유지하는 데 매우 중요한 여러 계층의 방어 기술을 보유하고 있습니다. 저희는 이 문제를 매우 심각하게 받아들이고 있으며 세계적 수준의 엔지니어 팀이 관련 대응 및 문제 해결을 위해 24시간 내내 노력하고 있습니다. 이를 통해 완전한 방어 상태를 심층적으로 신속하게 복구할 것으로 기대합니다.

저희가 배포한 기술 중 하나는 Log4j를 포함할 수 있는 애플리케이션용 핫 패치입니다. 핫 패치가 배포된 경우에도 고객은 업데이트된 Log4j 라이브러리를 가능한 한 빨리 배포할 계획을 세워야 합니다.

추가적인 AWS 서비스별 정보는 아래와 같습니다. 기타 세부 정보나 지원이 필요한 경우 AWS Support에 문의하십시오.

Amazon Kinesis
최근에 공개된 Apache Log4j2 라이브러리 문제(CVE-2021-44228)를 해결하는 Kinesis 에이전트 새 버전을 사용할 수 있습니다.

Amazon Inspector
Amazon Inspector 서비스는 Log4j 문제에 대해 패치되었습니다.

Inspector 서비스는 고객의 Amazon EC2 워크로드 및 ECR 이미지 내에서 CVE-2021-44228(Log4Shell) 문제를 감지하는 데 도움이 됩니다. 탐지 방법은 영향을 받는 현재 Linux 운영 체제 수준 패키지, 즉 Debian용 apache-log4j2 및 liblog4j2-java, SUSE용 log4j, log4jmanual 및 log4j12; Alpine, Centos, Debian, Red Hat, SUSE 및 Ubuntu용 Elasticsearch을 포함합니다. 각 배포판 보안 팀에서 추가 이슈를 식별하면, 탐지가 추가됩니다. Inspector는 ECR 이미지 내에 저장된 Java 아카이브를 분해하고 영향을 받는 패키지 또는 애플리케이션에 대한 결과를 생성합니다. 이러한 결과는 “CVE-2021-44228” 또는 “IN1-JAVA-ORGAPACHELOGGINGLOG4J-2314720 – org.apache.logging.log4j:log4j-core” 아래의 Inspector 콘솔에서 식별됩니다.

Amazon Inspector Classic
Amazon Inspector 서비스는 Log4j 문제에 대해 패치되었습니다.

Inspector Classic 서비스는 고객의 Amazon EC2 워크로드 내에서 CVE-2021-44228(Log4Shell) 문제를 감지하는 데 도움이 됩니다. 탐지 방법은 영향을 받는 현재 Linux 운영 체제 수준 패키지, 즉 Debian용 apache-log4j2 및 liblog4j2-java, SUSE용 log4j, log4jmanual 및 log4j12; Alpine, Centos, Debian, Red Hat, SUSE 및 Ubuntu용 Elasticsearch을 포함합니다.

Amazon WorkSpaces/AppStream 2.0
기본 구성을 사용하는 Amazon WorkSpaces 및 AppStream 2.0은  CVE-2021-44228의 영향을 받지 않습니다. WorkSpaces 및 AppStream의 기본 Amazon Linux 2 이미지에는 Log4j가 포함되어 있지 않으며, Amazon Linux 2 기본 패키지 리포지토리에서 사용 가능한 Log4j 버전은 CVE-2021-44228의 영향을 받지 않습니다. 그러나, WorkDocs Sync 클라이언트를 Windows WorkSpaces에 배포한 경우, 아래 권장되는 조치를 취하십시오.

Windows WorkSpaces에는 기본적으로 WorkDocs Sync가 설치되어 있지 않습니다. 그러나, WorkSpaces에는 2021년 6월 이전에 WorkDocs Sync 클라이언트 설치 프로그램에 대한 바탕 화면 바로 가기가 있었습니다. WorkDocs Sync 클라이언트 버전 1.2.895.1(또는 이전 버전)에는 Log4j 구성 요소가 포함되어 있습니다. 이전 WorkDocs Sync 클라이언트 버전을 WorkSpaces에 배포한 경우, SCCM과 같은 관리 도구를 통해 WorkSpaces에서 동기화 클라이언트를 다시 시작하거나 WorkSpaces 사용자에게 설치된 프로그램 목록에서 동기화 클라이언트(“Amazon WorkDocs”)를 수동으로 열도록 하시기 바랍니다. 시작 시 동기화 클라이언트는 CVE-2021-44228의 영향을 받지 않는 최신 버전 1.2.905.1로 자동 업데이트됩니다. Workdocs Drive 및 Workdocs Companion 애플리케이션은 이 문제의 영향을 받지 않습니다.

Amazon Timestream
Amazon Timestream은 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon DocumentDB
2021년 12월 13일부터 CVE-2021-44228에 언급된 Log4j 문제를 완화하기 위해 Amazon DocumentDB가 패치되었습니다.

Amazon CloudWatch
Amazon CloudWatch 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

AWS Secrets Manager
AWS Secrets Manager는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon Single Sign-On
Amazon Single Sign-On 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon RDS for Oracle
Amazon RDS for Oracle은 서비스 내에서 사용 중인 Log4j2 버전을 업데이트했습니다. RDS 인스턴스에 대한 액세스는 VPC 및 보안 그룹 및 네트워크 ACL(액세스 제어 목록)과 같은 기타 보안 제어에 의해 계속 제한됩니다. RDS 인스턴스에 대한 적절한 액세스 관리를 위해 이러한 설정을 검토하는 것이 좋습니다.

오라클 지원 문서 2827611.1 에 따르면, 오라클 데이터베이스 자체는이 문제의 영향을받지 않습니다.

Amazon Cloud Directory
Amazon Cloud Directory는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon Simple Queue Service (SQS)
Amazon Simple Queue Service(SQS)는 2021년 12월 13일에 SQS의 데이터 수신 및 송신에 대한 Apache Log4j2 문제(CVE-2021-44228) 패치를 완료했습니다. 또한 Log4j2를 사용하는 다른 모든 SQS 시스템의 패치도 완료했습니다.

AWS KMS
AWS KMS는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon Redshift
Amazon Redshift 클러스터는 CVE-2021-44228에서 식별된 문제를 완화하기 위해 자동으로 업데이트되었습니다.

AWS Directory Service
AWS Directory Service는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

AWS Lambda
AWS Lambda는 관리형 런타임 또는 기본 컨테이너 이미지에 Log4j2를 포함하지 않습니다. 따라서 CVE-2021-44228 및 CVE-2021-45046의 문제의 영향을 받지 않습니다.

고객 기능에 영향을 받는 Log4j2 버전이 포함된 경우, CVE-44228 및 CVE-2021-45046의 문제를 완화하는 데 도움이 되는 Lambda Java 관리 런타임 및 기본 컨테이너 이미지(Java 8, AL2의 Java 8 및 Java 11)에 변경 사항을 적용했습니다. 관리형 런타임을 사용하는 고객은 변경 사항이 자동으로 적용됩니다. 컨테이너 이미지를 사용하는 고객은 최신 기본 컨테이너 이미지에서 다시 빌드하고 다시 배포해야 합니다.

해당 변경과 상관없이 Log4j2가 포함된 기능을 사용하는 모든 고객은 최신 버전으로 업데이트할 것을 강력히 권장합니다. 특히 람다 함수에서 aws-lambda-java-log4j2 라이브러리를 사용하는 고객은 버전 1.4.0으로 업데이트하고 기능을 재배포해야 합니다. 이 버전은 기본 Log4j2 유틸리티 종속성을 버전 2.16.0으로 업데이트합니다. 업데이트된 aws-lambda-java-log4j2 바이너리는 Maven 리포지토리에서 사용할 수 있으며 소스 코드는 Github에서 사용할 수 있습니다.

Apache Log4j2 이슈 업데이트 (CVE-2021-44228) V5

최초 작성일:2021/12/16 오후 3:15 PST (영어 원문)

AWS는 오픈 소스 Apache “Log4j2” 유틸리티(CVE-2021-44228)와 관련하여 최근에 공개된 보안 문제를 알고 있습니다.

해당 보안 문제에 대응하기 위해, 고객 데이터 및 워크로드의 보안을 유지하는 데 매우 중요한 여러 계층의 방어 기술을 보유하고 있습니다. 저희는 이 문제를 매우 심각하게 받아들이고 있으며 세계적 수준의 엔지니어 팀이 관련 대응 및 문제 해결을 위해 24시간 내내 노력하고 있습니다. 이를 통해 완전한 방어 상태를 심층적으로 신속하게 복구할 것으로 기대합니다.

저희가 배포한 기술 중 하나는 Log4j를 포함할 수 있는 애플리케이션용 핫 패치입니다. . 이 핫 패치는 Java VM을 업데이트하여 JNDI(Java Naming and Directory Interface) 클래스의 로드를 비활성화하고 CVE-2021-44228 및 CVE-2021-45046을 효과적으로 완화합니다. 핫 패치가 배포된 경우에도 고객은 업데이트된 Log4j 라이브러리를 가능한 한 빨리 배포할 계획을 세워야 합니다.

AWS 서비스를 사용하여 Log4j CVE를 감지하고 수정하는 방법에 대한 자세한 내용은 블로그를 참고하세요.

추가적인 AWS 서비스별 정보는 아래와 같습니다. 기타 세부 정보나 지원이 필요한 경우 AWS Support에 문의하십시오.

Amazon EKS, Amazon ECS 및 AWS Fargate
오픈 소스 Apache “Log4j2” 유틸리티(CVE-2021-44228 및 CVE-2021-45046) 보안 문제가 고객의 컨테이너에 미치는 영향을 완화하기 위해 Amazon EKS, Amazon ECS 및 AWS Fargate에서 Linux 기반 업데이트를 배포하고 있습니다. 핫 패치를 사용하려면, 고객이 직접 설정이 필요하며 고객 컨테이너의 Log4J2 라이브러리에서 JNDI 조회를 비활성화합니다.

Windows 컨테이너에서 Java 기반 애플리케이션을 실행하는 고객은 Microsoft 지침을 따르시길 권장합니다.

고객 여러분께서는 영향을 받는 Log4j2 버전을 최대한 빨리 제거하도록 컨테이너 이미지를 업데이트하는 것이 좋습니다. 이것이 문제를 완전히 해결할 수 있는 유일한 방법입니다.

Amazon ECR Public 및 Amazon ECR
Amazon ECR Public 계정으로 게시된 Amazon 소유 이미지는 CVE-2021-4422에 설명된 문제의 영향을 받지 않습니다. Amazon ECR의 고객 소유 이미지에 대해, Amazon Inspector향상된 스캔 기능을 제공합니다. 이는 CVE-2021-44228이 포함된 컨테이너 이미지를 포함하여 알려진 보안 문제에 대해 컨테이너 이미지를 지속적으로 스캔하도록 설계되어 있습니다. 스캔 결과는 Inspector 및 ECR 콘솔에 보고됩니다. Inspector를 처음 사용하는 계정에 대한 무료 컨테이너 이미지 스캔이 포함된 15일 무료 평가판이 포함되어 있습니다. 제 3자가 ECR Public에 제공한 이미지를 사용하는 고객의 경우, 최근에 출시된 ECR의 Pull Through Cache 기능을 사용하여 ECR Public에서 ECR 레지스트리로 해당 이미지를 복사하고 Inspector 스캐닝을 사용하여 보안 문제를 감지할 수 있습니다.

Amazon Cognito
Amazon Cognito 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon Pinpoint
Amazon Pinpoint 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon EventBridge
Amazon EventBridge는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Elastic Load Balancing
Elastic Load Balancing 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다. 모든 Elastic Load Balancer와 Classic, Application, Network 및 Gateway는 Java로 작성되지 않았으므로 이 문제의 영향을 받지 않았습니다.

AWS CodePipeline

AWS CodePipeline은 CVE-2021-44228 및 CVE-2021-45046에서 식별된 문제를 완화하도록 업데이트되었습니다.

AWS CodeBuild
AWS CodeBuild는 CVE-2021-44228 및 CVE-2021-45046에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon Route 53

Amazon Route 53은 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon Linux

Amazon Linux 1(AL1) 및 Amazon Linux 2(AL2)는 기본적으로 CVE-2021-44228 또는 CVE-2021-45046의 영향을 받지 않는 log4j 버전을 사용합니다. Amazon Kinesis 에이전트의 새 버전은 CVE-2021-44228 및 CVE-2021-45046을 해결합니다. 또한, 자체 log4j 코드를 가져오는 고객을 돕기 위해 Amazon Linux는 Apache log4j용 핫패치를 포함하는 새 패키지를 출시했습니다. 자세한 내용은 여기에서 찾을 수 있습니다.

Amazon SageMaker
Amazon SageMaker는 2021년 12월 15일에 Apache Log4j2 문제(CVE-2021-44228)에 대한 패치를 완료했습니다.

AWS 고객들이 알려진 해당 문제를 패치하여 모든 고객 애플리케이션과 서비스를 업데이트하기 위한 조치를 취할 것을 계속 권장합니다. 이 문제에 대한 조치를 취하도록 권장되는 고객은 개인 헬스 대시보드를 통해 자세한 지침을 받았습니다. Log4j 문제의 영향을 받지 않더라도 작업을 다시 시작하거나 최신 버전의 소프트웨어를 사용하도록 앱을 업데이트하는 것이 좋습니다.

Amazon Athena
Amazon Athena는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다. 고객에게 제공된 Amazon Athena JDBC 드라이버의 모든 버전은 이 문제의 영향을 받지 않았습니다.

AWS Certificate Manager
AWS Certificate Manager 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.  ACM 사설 CA 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon AppFlow
Amazon AppFlow는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon Polly
Amazon Polly는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon QuickSight
Amazon QuickSight는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

AWS Textract
AWS Textract 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon Corretto
10월 19일에 출시된 최신 Amazon Corretto 배포판에 Log4j가 포함되어 있지 않기 때문에 CVE-2021-44228의 영향을 받지 않습니다. 고객이 직간접 종속성을 가진 jar를 포함, 이를 사용하는 모든 애플리케이션에서 최신 버전의 Log4j로 업데이트하는 것이 좋습니다.

Apache Log4j2 이슈 업데이트 (CVE-2021-44228) V6

최초 작성일: 2021/12/17 오후 1:50 PST (영어 원문)

AWS는 오픈 소스 Apache “Log4j2” 유틸리티(CVE-2021-44228 및 CVE-2021-45046)와 관련하여 최근에 공개된 보안 문제를 알고 있습니다.

해당 보안 문제에 대응하기 위해, 고객 데이터 및 워크로드의 보안을 유지하는 데 매우 중요한 여러 계층의 방어 기술을 보유하고 있습니다. 저희가 배포한 기술 중 하나는 Log4j를 포함할 수 있는 애플리케이션용 핫 패치입니다. . 이 핫 패치는 Java VM을 업데이트하여 JNDI(Java Naming and Directory Interface) 클래스의 로드를 비활성화하고 CVE-2021-44228 및 CVE-2021-45046을 효과적으로 완화합니다. 핫 패치가 배포된 경우에도 고객은 업데이트된 Log4j 라이브러리를 가능한 한 빨리 배포할 계획을 세워야 합니다. AWS 서비스를 사용하여 Log4j CVE를 감지하고 수정하는 방법에 대한 자세한 내용은 블로그를 참고하세요.

본 공지 이후에는 더 이상의 서비스별 업데이트가 필요하지 않습니다.  기타 세부 정보나 지원이 필요한 경우 AWS Support에 문의하십시오.

Amazon Connect
Amazon Connect는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

고객이 직접 추가적인 작업을 필요할 수 있는 Amazon Connect 서비스 외부 환경 구성 요소(예: 고객 응대 흐름에서 호출되는 Lambda 함수)를 확인하셔야 합니다.

Amazon Chime
Amazon Chime SDK 서비스는 CVE-2021-44228 및 CVE-2021-45046에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon Chime 서비스는 CVE-2021-44228 및 CVE-2021-45046에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon EMR
CVE-2021-44228 취약점은 신뢰할 수 없는 소스의 입력을 처리할 때, 2.0에서 2.14.1 사이의 Apache log4j 버전에 영향을 줍니다. Amazon EMR 5 및 EMR 6 릴리스와 함께 출시된 EMR 클러스터에는 Apache Log4j의 이러한 버전을 사용하는 Apache Hive, Flink, HUDI, Presto 및 Trino와 같은 오픈 소스 프레임워크가 포함됩니다. EMR의 기본 구성으로 클러스터를 시작하면 신뢰할 수 없는 소스의 입력을 처리하지 않습니다. 많은 고객이 EMR 클러스터에 설치된 오픈 소스 프레임워크를 사용하여 신뢰할 수 없는 소스의 입력을 처리하고 기록합니다. 따라서 AWS는 제시한 솔루션을 적용할 것을 권장합니다.

Amazon Fraud Detector
Amazon Fraud Detector 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon Kendra
Amazon Kendra 서비스는 CVE-2021-44228을 완화하도록 업데이트되었습니다.

Amazon Lex
Amazon Lex는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon Lookout for Equipment
Amazon Lookout for Equipment는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon Macie
Amazon Macie 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon Macie Classic
Amazon Macie Classic 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon Monitron
Amazon Monitron은 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon RDS
Amazon RDS 및 Amazon Aurora는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon Rekognition
Amazon Rekognition 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

Amazon VPC
인터넷 게이트웨이 및 가상 게이트웨이 서비스를 포함한 Amazon VPC는 ​​CVE-2021-44228에 언급된 Log4j 문제를 완화하도록 업데이트되었습니다.

AWS AppSync
AWS AppSync는 CVE-2021-44228 및 CVE-2021-45046에서 식별된 문제를 완화하도록 업데이트되었습니다.

AWS Certificate Manager
AWS Certificate Manager 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

ACM 사설 CA 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

AWS Service Catalog
AWS Service Catalog는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.

AWS Systems Manager
AWS Systems Manager 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다. Systems Manager 에이전트 자체는 이 문제의 영향을 받지 않습니다.

더 많은 AWS 보안에 대한 뉴스는 AWS 보안 공지, AWS Security 블로그트위터 계정을 참고하세요.

– Channy(윤석찬);