최초 게시일: 2021년 12월 10일 7:20 PM PDT

이 문제에 대한 모든 업데이트는 여기로 이동되었습니다.

AWS는 최근 공개된 오픈 소스 Apache ‘Log4j2’ 유틸리티(CVE-2021-44228)와 관련된 보안 문제에 대해 인지하고 있습니다. 당사는 적극적으로 이 문제를 모니터링하고 있으며, Log4j2를 사용하거나 서비스의 일부로 Log4j2를 고객에게 제공하는 모든 AWS 서비스에 대해 이 문제를 해결하기 위해 작업하고 있습니다.

Log4j2가 포함된 환경을 관리하시는 모든 고객 여러분은 https://logging.apache.org/log4j/2.x/download.html에서 최신 버전을 다운로드하거나 각 운영 체계의 소프트웨어 업데이트 메커니즘에 따라 최신 버전으로 업데이트하시기 바랍니다. 서비스별 추가 정보는 아래와 같습니다.

추가 세부 정보나 지원이 필요하시면 AWS Support에 문의하세요.

Amazon EC2

Amazon Linux 1 및 Amazon Linux 2 리포지토리에 사용 가능한 Log4j 버전은 CVE-2021-44228의 영향을 받지 않습니다. Amazon Linux의 보안 관련 소프트웨어 업데이트에 대한 추가 정보는 https://alas.aws.amazon.com을 참조하세요.

AWS WAF / Shield

최근 Log4j 보안 문제에서 제기되는 위험 탐지 및 완화를 개선하기 위해 AWS WAF 서비스의 AWSManagedRulesKnownBadInputsRuleSet AMR를 업데이트했습니다. CloudFront, Application Load Balancer(ALB), API Gateway, 및 AppSync 고객은 즉시 이 완화 옵션을 활용하여 URI, 요청 본문, 일반적으로 사용되는 헤더를 검사해 AWS WAF 웹 ACL을 생성하고, AWSManagedRulesKnownBadInputsRuleSet을 웹 ACL에 추가한 다음, 웹 ACL을 사용하시는 CloudFront 배포, ALB, API Gateway 또는 AppSync GraphQL API에 연결함으로써 방어 계층을 추가할 수 있습니다.

AWS WAF를 시작하기 위한 자세한 정보는 https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html 섹션을 참조하세요.

AMR을 활용하기 위한 추가 정보는 https://docs.aws.amazon.com/waf/latest/developerguide/waf-using-managed-rule-groups.html 섹션을 참조하세요.

AMR은 WAF Classic에서 사용할 수 없으므로 이 완화 옵션을 활용하려면 AWS WAF(wafv2)로 업그레이드하시기 바랍니다.

Amazon OpenSearch

이 문제를 해결하는 ‘Log4j2’ 버전을 사용하도록 모든 Amazon OpenSearch Service 도메인을 업데이트하고 있습니다. 업데이트 과정 동안 사용자의 도메인에서 일시적인 활동이 관찰될 수 있습니다.

AWS Lambda

AWS Lambda는 관리형 런타임 또는 기본 컨테이너 이미지에 Log4j2를 포함하지 않습니다. 따라서 CVE-2021-44228에 설명된 문제의 영향을 받지 않습니다. 함수에 aws-lambda-java-log4j2(https://repo1.maven.org/maven2/com/amazonaws/aws-lambda-java-log4j2/) 라이브러리를 사용하는 고객은 버전 1.3.0으로 업데이트하고 재배포해야 합니다.

AWS CloudHSM

3.4.1보다 이전 버전의 CloudHSM JCE SDK는 이 문제의 영향을 받는 Apache Log4j 버전을 포함합니다. 2021년 12월 10일, CloudHSM은 수정된 Apache Log4j 버전이 포함된 JCE SDK v3.4.1을 출시했습니다. 3.4.1보다 이전 버전의 CloudHSM JCE를 사용하고 있으시다면 영향을 받을 수 있으므로 CloudHSM JCE SDK를 3.4.1 및 그 이후 버전으로 업그레이드하여 해결해야 합니다[1].
[1] https://docs.aws.amazon.com/cloudhsm/latest/userguide/java-library-install.html