최초 게시일: 2022년 4월 19일 14:30 PST
CVE ID: CVE-2021-3100, CVE-2021-3101, CVE-2022-0070, CVE-2022-0071
2021년 12월 12일에 Amazon은 실행 중인 Java VM에 대해 JNDI(Java Naming and Directory Interface) 클래스의 로드를 비활성화하는 핫패치를 공식 출시했습니다. 이 핫패치는 오픈 소스인 Apache ‘Log4j2’ 유틸리티 내의 심각한 문제(CVE-2021-44228 및 CVE-2021-45046)를 즉각적으로 완화하면서 시스템 관리자가 영향 받은 환경에 대해 완전한 패치를 적용할 시간을 확보하도록 합니다. 보안 연구원들은 최근에 이 핫패치 및 Bottlerocket의 관련 OCI 후크(‘Hotdog’) 내의 문제를 보고했습니다. 해당 문제는 핫패치의 새로운 버전 및 Hotdog의 새로운 버전에서 해결되었습니다. 컨테이너에서 Java 애플리케이션을 실행하고 핫패치 또는 Hotdog를 사용하는 고객은 즉시 최신 버전의 소프트웨어로 업데이트하시기 바랍니다. Amazon Linux 및 Amazon Linux 2에 대한 핫패치의 최신 패키지 이름 및 버전은 다음과 같습니다.
- Amazon Linux: log4j-cve-2021-44228-hotpatch-1.1-16.amzn1
- Amazon Linux 2: log4j-cve-2021-44228-hotpatch-1.1-16.amzn2
Amazon Linux에서 Apache Log4j의 핫패치를 사용하는 고객은 sudo yum update 명령을 실행하여 최신 핫패치 버전으로 업데이트할 수 있습니다. 이 핫패치를 적용하려면 최신 Linux 커널 업데이트가 적용된 환경이 필요하므로, 고객은 사용 중인 핫패치의 버전 업데이트 시 사용 가능한 커널 업데이트를 하나도 건너뛰어서는 안됩니다. 자세한 정보는 Amazon Linux 보안 센터(https://alas.aws.amazon.com/)에서 확인하실 수 있습니다.
Apache Log4j 기능의 핫패치가 활성화된 Bottlerocket을 사용하는 고객은 최신 Hotdog 버전이 포함된 최신 Bottlerocket 릴리스로 업데이트해야 합니다.
이 문제를 보고해 주신 Palo Alto Networks에 감사드립니다.
보안 관련 질문이나 문의 사항은 aws-security@amazon.com을 통해 제출할 수 있습니다.