A AWS está ciente do problemas recém-divulgados relacionados ao utilitário de código aberto Apache “Log4j2" (CVE-2021-44228 e CVE-2021-45046).

Responder a problemas de segurança como este mostra o valor de se ter várias camadas de tecnologias defensivas, o que é muito importante para manter a segurança dos dados e das workloads dos nossos clientes.

Levamos esse problema muito a sério, e nossa equipe de engenheiros de classe mundial implantou totalmente o hot patch Java desenvolvido pela Amazon, disponível aqui, em todos os serviços da AWS. O hot patch atualiza a Java VM para desabilitar o carregamento da classe Java Naming and Directory Interface (JNDI), substituindo-a por uma mensagem de notificação inofensiva, que atenua o CVE-2021-44228 e o CVE-2021-45046.  Em breve, concluiremos nossa implantação da biblioteca do Log4j atualizada em todos os nossos serviços.  Mais informações sobre o hot patch Java estão disponíveis em https://aws.amazon.com/blogs/security/open-source-hotpatch-for-apache-log4j-vulnerability/.

Mesmo com esse hot patch implantado, os clientes ainda devem implantar uma biblioteca do Log4j atualizada o mais rápido possível com segurança, como estamos fazendo por toda a AWS.

Para obter mais detalhes sobre como detectar e corrigir os CVEs do Log4j usando serviços da AWS, leia a publicação mais recente no nosso blog aqui.

Nenhuma outra atualização específica para serviços será necessária após essa boletim final.

Se precisar de mais detalhes ou assistência, entre em contato com o AWS Support.

Amazon Connect

O Amazon Connect foi atualizado para atenuar os problemas identificados no CVE-2021-44228.

Recomendamos que os clientes avaliem os componentes de seus ambientes que estão fora dos limites de serviço Amazon Connect (como funções do Lambda que são chamadas de fluxos de contato), que podem exigir procedimentos de atenuação separados/adicionais por parte do cliente.

Amazon Chime

Os serviços do Amazon Chime SDK foram atualizados para atenuar os problemas identificados no CVE-2021-44228 e no CVE-2021-45046.

Os serviços do Amazon Chime foram atualizados para atenuar os problemas identificados no CVE-2021-44228 e no CVE-2021-45046.

Amazon EMR

O CVE-2021-44228 afeta as versões do Apache Log4j entre 2.0 e 2.14.1 ao processar entradas de origens não confiáveis. Os clusters do EMR iniciados com as versões EMR 5 e EMR 6 incluem frameworks de código aberto, como Apache Hive, Apache Flink, HUDI, Presto e Trino, que usam essas versões do Apache Log4j. Quando você inicia um cluster com a configuração padrão do EMR, ele não processa entradas de origens não confiáveis. Muitos clientes usam as frameworks de código aberto instaladas em seus clusters do EMR para processar e registrar entradas de origens não confiáveis. Portanto, a AWS recomenda que você aplique a solução descrita aqui.

Amazon Fraud Detector

Os serviços do Amazon Fraud Detector foram atualizados para atenuar os problemas identificados no CVE-2021-44228.

Amazon Kendra

O Amazon Kendra foi atualizado para atenuar o CVE-2021-44228.

Amazon Lex

O Amazon Lex foi atualizado para atenuar os problemas identificados no CVE-2021-44228.

Amazon Lookout for Equipment

O Amazon Lookout for Equipment foi atualizado para atenuar os problemas identificados no CVE-2021-44228.

Amazon Macie

O serviço Amazon Macie foi atualizado para atenuar os problemas identificados no CVE-2021-44228.

Amazon Macie Classic

O serviço Amazon Macie Classic foi atualizado para atenuar os problemas identificados no CVE-2021-44228.

Amazon Monitron

O Amazon Monitron foi atualizado para atenuar os problemas identificados no CVE-2021-44228.

Amazon RDS

O Amazon RDS e o Amazon Aurora foram atualizados para atenuar os problemas identificados no CVE-2021-44228.

Amazon Rekognition

Os serviços do Amazon Rekognition foram atualizados para atenuar os problemas identificados no CVE-2021-44228.

Amazon VPC

A Amazon VPC, incluindo os serviços Internet Gateway e Virtual Gateway, foram atualizados para atenuar o problema com o Log4j mencionado no CVE-2021-44228.

AWS AppSync

O AWS AppSync foi atualizado para atenuar os problemas identificados no CVE-2021-44228 e no CVE-2021-45046.

AWS Certificate Manager

Os serviços do AWS Certificate Manager foram atualizados para atenuar os problemas identificados no CVE-2021-44228.

Os serviços do ACM Private CA foram atualizados para atenuar os problemas identificados no CVE-2021-44228.

AWS Service Catalog

O AWS Service Catalog foi atualizado para atenuar os problemas identificados no CVE-2021-44228.

AWS Systems Manager

O serviço AWS Systems Manager foi atualizado para atenuar os problemas identificados no CVE-2021-44228. O agente do Systems Manager em si não é afetado por esse problema.

A AWS está ciente do problemas recém-divulgados relacionados ao utilitário de código aberto Apache “Log4j2" (CVE-2021-44228 e CVE-2021-45046).

Responder a problemas de segurança como este mostra o valor de se ter várias camadas de tecnologias defensivas, o que é muito importante para manter a segurança dos dados e das workloads dos nossos clientes. Estamos levando esse problema muito a sério, e nossa equipe de engenheiros de classe mundial tem trabalhado 24 horas por dia nos procedimentos de resposta e correção. Esperamos restaurar rapidamente nosso estado integral de defesa profunda.

Uma das tecnologias que desenvolvemos e implantamos extensivamente dentro da AWS é um hot patch para aplicações que podem incluir o Log4j. Esse hot patch atualiza a Java VM para desabilitar o carregamento da classe Java Naming and Directory Interface (JNDI), substituindo-a por uma mensagem de notificação inofensiva, que é uma atenuação efetiva do CVE-2021-44228 e do CVE-2021-45046.

Também disponibilizamos isso como uma solução de código aberto, que está disponível aqui.

Mesmo com esse hot patch implantado, os clientes ainda devem implantar uma biblioteca do Log4j atualizada o mais rápido possível com segurança.

Para obter mais detalhes sobre como detectar e corrigir os CVEs do Log4j usando serviços da AWS, leia a publicação mais recente no nosso blog aqui.

Informações adicionais específicas de cada serviço são fornecidas a seguir. Se precisar de mais detalhes ou assistência, entre em contato com o AWS Support.

Amazon EKS, Amazon ECS e AWS Fargate

Para ajudar a reduzir o impacto dos problemas de segurança com o utilitário Apache “Log4j2" de código aberto (CVE-2021-44228 e CVE-2021-45046) nos contêineres dos clientes, o Amazon EKS, o Amazon ECS e o AWS Fargate estão implantando uma atualização baseada no Linux (hot patch). Esse hot patch exigirá que o cliente aprove o uso e desativa as pesquisas JNDI da biblioteca do Log4J2 nos contêineres dos clientes. Essas atualizações estão disponíveis como um pacote do Amazon Linux para clientes do Amazon ECS, como um DaemonSet para usuários do Kubernetes na AWS e estarão em versões da plataforma AWS Fargate com suporte.

Os clientes que executam aplicações baseadas em Java em contêineres do Windows são aconselhados a seguir as orientações da Microsoft aqui.

Amazon ECR Public e Amazon ECR

Imagens de propriedade da Amazon publicadas em uma Conta verificada no Amazon ECR Public não são afetadas pelo problema descrito no CVE-2021-4422. Para imagens de propriedade do cliente no Amazon ECR, a AWS oferece o Enhanced Scanning com o Amazon Inspector, projetado para verificar continuamente imagens de contêiner em busca de problemas de segurança conhecidos, incluindo imagens de contêiner contendo o CVE-2021-44228. As descobertas são relatadas nos consoles do Inspector e do ECR. O Inspector inclui uma avaliação gratuita de 15 dias com verificação gratuita de imagens de contêiner para contas novas no Inspector. Os clientes que consomem imagens no ECR Public de editores terceiros podem usar o recém-lançado recurso Pull Through Cache do ECR para copiar essas imagens do ECR Public em seus registros do ECR e usar a verificação do Inspector para detectar problemas de segurança.

Amazon Cognito

Os serviços do Amazon Cognito foram atualizados para atenuar os problemas identificados no CVE-2021-44228.

Amazon Pinpoint

Os serviços do Amazon Pinpoint foram atualizados para atenuar os problemas identificados no CVE-2021-44228.

Amazon EventBridge

O Amazon EventBridge foi atualizado para atenuar os problemas identificados no CVE-2021-44228.

Elastic Load Balancing

Os serviços do Elastic Load Balancing foram atualizados para atenuar os problemas identificados no CVE-2021-44228. Nenhum dos Elastic Load Balancers (bem como Classic, Application, Network e Gateway Load Balancers) é escrito em Java e, portanto, esses modelos não foram afetados pelo problema.

AWS CodePipeline


O AWS CodePipeline foi atualizado para atenuar os problemas identificados no CVE-2021-44228 e no CVE-2021-45046.

AWS CodeBuild

O AWS CodeBuild foi atualizado para atenuar os problemas identificados no CVE-2021-44228 e no CVE-2021-45046.

Amazon Route53


O Route 53 foi atualizado para atenuar os problemas identificados no CVE-2021-44228.

Amazon Linux


Por padrão, o Amazon Linux 1 (AL1) e o Amazon Linux 2 (AL2) usam uma versão do log4j que não é afetada pelo CVE-2021-44228 ou pelo CVE-2021-45046. Uma nova versão do Agente do Amazon Kinesis, que faz parte do AL2, aborda o CVE-2021-44228 e o CVE-2021-45046. Além disso, para ajudar os clientes que trazem seu próprio código log4j, o Amazon Linux lançou um novo pacote que inclui o Hot patch para Apache log4j. Mais detalhes podem ser encontrados aqui.

Amazon SageMaker

O Amazon SageMaker concluiu a aplicação de patches para o problema do Apache Log4j2 (CVE-2021-44228) em 15 de dezembro de 2021.

Continuamos a recomendar que nossos clientes tomem medidas para atualizar todas as suas aplicações e serviços, aplicando patches para corrigir problemas conhecidos como este. Os clientes que devem tomar medidas sobre esse problema receberam instruções detalhadas via PHD. Mesmo que você não seja afetado pelo problema do Log4j, recomendamos que reinicie seu trabalho ou atualize sua aplicação para usar a versão mais recente do nosso software.

Amazon Athena

O Amazon Athena foi atualizado para atenuar os problemas identificados no CVE-2021-44228. Nenhuma das versões do driver JDBC do Amazon Athena vendidas aos clientes foi afetadas por esse problema.

AWS Certificate Manager

Os serviços do AWS Certificate Manager foram atualizados para atenuar os problemas identificados no CVE-2021-44228.

Os serviços do ACM Private CA foram atualizados para atenuar os problemas identificados no CVE-2021-44228.

Amazon AppFlow

O Amazon AppFlow foi atualizado para atenuar os problemas identificados no CVE-2021-44228.

Amazon Polly

O Amazon Polly foi atualizado para atenuar os problemas identificados no CVE-2021-44228.

Amazon QuickSight

O Amazon QuickSight foi atualizado para atenuar os problemas identificados no CVE-2021-44228.

AWS Textract

Os serviços do AWS Textract foram atualizados para atenuar os problemas identificados no CVE-2021-44228.

Amazon Corretto

O Amazon Corretto mais recente, lançado em 19 de outubro, não é afetado pelo CVE-2021-44228, pois a distribuição do Corretto não inclui o Log4j. Recomendamos que os clientes atualizem para a versão mais recente do Log4j em todas as aplicações que o utilizam, incluindo dependências diretas, dependências indiretas e jars sombreados.
 

A AWS está ciente do problema de segurança recentemente divulgado que está relacionado ao utilitário de código aberto Apache “Log4j2" (CVE-2021-44228).

Responder a problemas de segurança como este mostra o valor de se ter várias camadas de tecnologias defensivas, o que é muito importante para manter a segurança dos dados e das workloads dos nossos clientes. Estamos levando esse problema muito a sério, e nossa equipe de engenheiros de classe mundial tem trabalhado 24 horas por dia nos procedimentos de resposta e correção. Esperamos restaurar rapidamente nosso estado integral de defesa profunda.

Uma das tecnologias que desenvolvemos e implantamos é um hot patch para aplicações que podem incluir o Log4j. Também disponibilizamos isso como uma solução de código aberto, que está disponível aqui.

Mesmo com esse hot patch implantado, os clientes ainda devem planejar a implantação de uma biblioteca do Log4j atualizada o mais rápido possível com segurança.

Informações adicionais específicas de cada serviço são fornecidas a seguir. Se precisar de mais detalhes ou assistência, entre em contato com o AWS Support.

Amazon Kinesis

Uma nova versão do agente do Kinesis, que aborda o problema da biblioteca do Apache Log4j2 recém-divulgado (CVE-2021-44228), está disponível aqui.

Amazon Inspector

O serviço Amazon Inspector recebeu um patch contra o problema do Log4j.

O serviço Inspector ajuda a detectar problemas do CVE-2021-44228 (Log4Shell) em workloads do EC2 e nas imagens do ECR do cliente. Atualmente, as detecções estão disponíveis para pacotes afetados no nível do sistema operacional no Linux. Estes incluem, mas não estão limitados a: apache-log4j2 e liblog4j2-java for Debian; log4j, log4jmanual e log4j12 for SUSE; e Elasticsearch for Alpine, Centos, Debian, Red Hat, SUSE e Ubuntu. Mais detecções serão adicionadas à medida que outros impactos forem identificados pelas respectivas equipes de segurança de distribuição. O Inspector decompõe arquivos Java armazenados em imagens do ECR e gera descobertas para pacotes ou aplicações afetadas. Essas descobertas serão identificadas no console do Inspector em “CVE-2021-44228” ou “IN1-JAVA-ORGAPACHELOGGINGLOG4J-2314720 - org.apache.logging.log4j:log4j-core”.

Amazon Inspector Classic

O serviço Amazon Inspector recebeu um patch contra o problema do Log4j.

O serviço Inspector Classic ajuda a detectar problemas do CVE-2021-44228 (Log4Shell) nas workloads do EC2 do cliente. As detecções para o CVE-2021-44228 (Log4Shell) estão disponíveis atualmente para pacotes afetados no nível do sistema operacional no Linux. Estes incluem, mas não estão limitados a: apache-log4j2 e liblog4j2-java for Debian; log4j, log4jmanual e log4j12 for SUSE; e Elasticsearch for Alpine, Centos, Debian, Red Hat, SUSE e Ubuntu.

Amazon WorkSpaces/AppStream 2.0

O Amazon WorkSpaces e o AppStream 2.0 não são afetados pelo CVE-2021-44228 com configurações padrão. As imagens padrão do Amazon Linux 2 para o WorkSpaces e o AppStream não contêm o Log4j, e as versões do Log4j disponíveis nos repositórios de pacotes padrão do Amazon Linux 2 não são afetadas pelo CVE-2021-44228. No entanto, se você implantou o cliente WorkDocs Sync no Windows WorkSpaces, tome as medidas recomendadas abaixo.

Por padrão, o Windows WorkSpaces não tem o WorkDocs Sync instalado. No entanto, o WorkSpaces costumava ter um atalho padrão na área de trabalho para o instalador do cliente WorkDocs Sync antes de junho de 2021. O cliente WorkDocs Sync versão 1.2.895.1 (e anteriores) contém o componente Log4j. Se você implantou as versões antigas do cliente WorkDocs Sync no WorkSpaces, reinicie o cliente Sync no WorkSpaces por meio de ferramentas de gerenciamento, como o SCCM, ou instrua os usuários do WorkSpaces a abrir manualmente o cliente Sync - “Amazon WorkDocs” na lista de programas instalados. Na inicialização, o cliente Sync seria atualizado automaticamente para a versão mais recente 1.2.905.1, que não é afetada pelo CVE-2021-44228. As aplicações Workdocs Drive e Workdocs Companion não são afetadas pelo problema.

Amazon Timestream

O Amazon Timestream foi atualizado para atenuar os problemas identificados no CVE-2021-44228.

Amazon DocumentDB

Desde 13 de dezembro de 2021, o Amazon DocumentDB recebeu um patch para atenuar o problema com o Log4j mencionado no CVE-2021-44228.

Amazon CloudWatch

Os serviços do Amazon CloudWatch foram atualizados para atenuar os problemas identificados no CVE-2021-44228.

AWS Secrets Manager

O AWS Secrets Manager foi atualizado para atenuar os problemas identificados no CVE-2021-44228.

Amazon Single Sign-On

Os serviços do Amazon Single Sign-On foram atualizados para atenuar os problemas identificados no CVE-2021-44228.

Amazon RDS Oracle

O Amazon RDS Oracle atualizou a versão do Log4j2 em uso no serviço. O acesso a instâncias do RDS continua a ser restrito por suas VPCs e outros controles de segurança, como grupos de segurança e listas de controle de acesso à rede (ACL). Recomendamos que você analise essas configurações para garantir o gerenciamento de acesso adequado às suas instâncias do RDS.

De acordo com o documento de Suporte Oracle 2827611.1, o banco de dados Oracle propriamente dito não é afetado por esse problema.

Amazon Cloud Directory

O Amazon Cloud Directory foi atualizado para atenuar os problemas identificados no CVE-2021-44228.

Amazon Simple Queue Service (SQS)

Em 13 de dezembro de 2021, o Amazon Simple Queue Service (SQS) concluiu a aplicação de patches para o problema com o Apache Log4j2 (CVE-2021-44228) referente à entrada e à saída de dados do SQS. Também concluímos a aplicação de patches em todos os outros sistemas do SQS que usavam o Log4j2.

AWS KMS

O AWS KMS foi atualizado para atenuar os problemas identificados no CVE-2021-44228.

Amazon Redshift

Os clusters do Amazon Redshift foram atualizados automaticamente para atenuar os problemas identificados no CVE-2021-44228.

AWS Lambda

O AWS Lambda não inclui o Log4j2 em seus tempos de execução gerenciados ou em imagens de contêiner base. Portanto, estes não são afetados pelo problema descrito no CVE-2021-44228 e no CVE-2021-45046.

Nos casos em que uma função do cliente inclui uma versão afetada do Log4j2, aplicamos uma alteração nos tempos de execução gerenciados do Lambda Java e nas imagens de contêiner base (Java 8, Java 8 no AL2 e Java 11) que ajuda a atenuar os problemas no CVE-2021-44228 e no CVE-2021-45046. Os clientes que usam tempos de execução gerenciados terão a alteração aplicada automaticamente. Os clientes que usam imagens de contêiner precisarão reconstruir a partir da imagem de contêiner base mais recente e reimplantar.

Independentemente dessa alteração, incentivamos todos os clientes cujas funções incluem o Log4j2 a atualizar para a versão mais recente. Os clientes que usam a biblioteca aws-lambda-java-log4j2 em suas funções precisarão atualizar para a versão 1.4.0 e repetir a implantação de suas funções. Essa versão atualiza as dependências subjacentes do utilitário Log4j2 para a versão 2.16.0. O binário aws-lambda-java-log4j2 atualizado está disponível no repositório do Maven, e seu código-fonte está disponível no Github.

A AWS está ciente do problema de segurança recentemente divulgado que está relacionado ao utilitário de código aberto Apache “Log4j2" (CVE-2021-44228).

Responder a problemas de segurança como este mostra o valor de se ter várias camadas de tecnologias defensivas, o que é muito importante para manter a segurança dos dados e das workloads dos nossos clientes. Estamos levando esse problema muito a sério, e nossa equipe de engenheiros de classe mundial tem trabalhado 24 horas por dia nos procedimentos de resposta e correção. Esperamos restaurar rapidamente nosso estado integral de defesa profunda.

Continuamos a recomendar que nossos clientes tomem medidas para atualizar todas as suas aplicações e serviços, aplicando patches para corrigir problemas conhecidos como este e continuem a seguir nossas orientações bem arquitetadas.

Informações adicionais específicas de cada serviço são fornecidas a seguir. Se precisar de mais detalhes ou assistência, entre em contato com o AWS Support.

Amazon API Gateway

Desde 13 de dezembro de 2021, todos os hosts do Amazon API Gateway receberam um patch para atenuar o problema com o Log4j mencionado no CVE-2021-44228.

Amazon CloudFront

Os serviços do Amazon CloudFront foram atualizados para atenuar os problemas identificados no CVE-2021-44228. Os serviços de tratamento de solicitações do CloudFront executados em nossos POPs não são escritos em Java e, portanto, não foram afetados por esse problema.

Amazon Connect

Os serviços do Amazon Connect foram atualizados para atenuar os problemas identificados no CVE-2021-44228.

Amazon DynamoDB

O Amazon DynamoDB e o Amazon DynamoDB Accelerator (DAX) foram atualizados para atenuar os problemas identificados na CVE-2021-44228.

Amazon EC2

As versões do Log4j disponíveis nos repositórios do Amazon Linux 1 e do Amazon Linux 2 não são afetadas pelo CVE-2021-44228. Informações adicionais sobre atualizações de software relacionadas à segurança para o Amazon Linux estão disponíveis na Central de Segurança do Amazon Linux.

Amazon ElastiCache

O mecanismo Redis do Amazon ElastiCache não inclui o Log4j2 em seus tempos de execução gerenciados ou imagens de contêiner base. O Amazon ElastiCache concluiu a aplicação de patches para o problema do Apache Log4j2 (CVE-2021-44228) em 12 de dezembro de 2021.

Amazon EMR

O CVE-2021-44228 afeta as versões do Apache Log4j entre 2.0 e 2.14.1 ao processar entradas de origens não confiáveis. Os clusters do EMR iniciados com as versões EMR 5 e EMR 6 incluem frameworks de código aberto, como Apache Hive, Apache Flink, HUDI, Presto e Trino, que usam essas versões do Apache Log4j. Quando você inicia um cluster com a configuração padrão do EMR, ele não processa entradas de origens não confiáveis.

Estamos trabalhando ativamente na criação de uma atualização que atenue o problema discutido na CVE-2021-44228 quando frameworks de código aberto instaladas no cluster do EMR processam informações de origens não confiáveis.

AWS IoT SiteWise Edge

Atualizações para todos os componentes do AWS IoT SiteWise Edge que usam o Log4j foram disponibilizadas para implantação em 13/12/2021. Esses componentes são: coletor OPC-UA (v2.0.3), Pacote de processamento de dados (v2.0.14) e Publicador (v2.0.2). A AWS recomenda que os clientes que estejam usando esses componentes implantem as versões mais recentes em seus gateways do SiteWise Edge.

Amazon Keyspaces (for Apache Cassandra)

O Amazon Keyspaces (for Apache Cassandra) foi atualizado para atenuar os problemas identificados no CVE-2021-44228.

Amazon Kinesis Data Analytics

As versões do Apache Flink com suporte pelo Amazon Kinesis Data Analytics incluem versões do Apache Log4j entre 2.0 e 2.14.1. As aplicações Kinesis Data Analytics operam em ambientes isolados de locatário único e não conseguem interagir umas com as outras.

Estamos atualizando a versão do Log4j disponível para aplicações de clientes do Kinesis Data Analytics em todas as regiões da AWS. As aplicações iniciadas ou atualizadas após as 18h30, horário do pacífico, de 12/12/2021 receberão automaticamente o patch atualizado. Clientes cujas aplicações foram iniciadas ou atualizadas antes disso podem garantir que suas aplicações sejam executadas na versão atualizada do Log4j chamando a API UpdateApplication do Kinesis Data Analytics. Mais informações sobre a API UpdateApplication estão disponíveis na documentação do serviço.

Amazon Kinesis Data Streams

Estamos aplicando patches ativamente a todos os subsistemas que usam o Log4j2, por meio da aplicação de atualizações. A Kinesis Client Library (KCL) versão 2.X e a Kinesis Producer Library (KPL) não são afetadas. Para clientes que usam a KCL 1.x, lançamos uma versão atualizada e recomendamos que todos os clientes da KCL versão 1.x atualizem para a versão 1.14.5 (ou superior) da KCL, que está disponível aqui.

Amazon Managed Streaming for Apache Kafka (MSK)

Estamos cientes do problema recentemente divulgado (CVE-2021-44228) relacionado à biblioteca do Apache Log4j2 e está aplicando atualizações conforme necessário. Vale ressaltar que as compilações do Apache Kafka e do Apache Zookeeper oferecidas no MSK atualmente usam a biblioteca Log4j 1.2.17, que não é afetada por esse problema. Alguns componentes de serviços específicos do MSK usam a biblioteca Log4j > 2.0.0 e estão recebendo patches quando necessário.

Amazon Managed Workflows for Apache Airflow (MWAA)

O MWAA tem duas áreas de consideração no que diz respeito ao problema divulgado recentemente (CVE-2021-44228) relacionado à biblioteca do Apache Log4j2: código de serviço do Amazon MWAA (específico da AWS) e código aberto (Apache Airflow).

Em 14 de dezembro de 2021, concluímos todas as atualizações necessárias para o código do serviço do MWAA para solucionar o problema. O Apache Airflow não usa o Log4j2 e não é afetado por esse problema.

Incentivamos os clientes que adicionaram o Log4j2 aos seus ambientes a atualizar para a versão mais recente.

Amazon MemoryDB for Redis

O Amazon MemoryDB for Redis concluiu a aplicação de patches para o problema do Apache Log4j2 (CVE-2021-44228) em 12 de dezembro de 2021.

Amazon MQ

O Amazon MQ tem duas áreas de consideração no que diz respeito ao problema divulgado recentemente (CVE-2021-44228) relacionado à biblioteca do Apache Log4j2: código de serviço do Amazon MQ (específico da AWS) e código aberto (agentes de mensagens Apache ActiveMQ e RabbitMQ).

Em 13 de dezembro de 2021, concluímos todas as atualizações necessárias para o código do serviço do Amazon MQ para solucionar o problema.
Não há necessidade de atualizações nos agentes de mensagens de código aberto. Todas as versões do Apache ActiveMQ oferecidas no Amazon MQ usam o Log4j versão 1.2.x, que não é afetado por esse problema. O RabbitMQ não usa o Log4j e não é afetado por esse problema.

Amazon Neptune

Todos os clusters ativos do Amazon Neptune foram atualizados automaticamente para atenuar os problemas identificados no CVE-2021-44228.

Amazon OpenSearch Service

O Amazon OpenSearch Service lançou uma atualização de software de serviço crítica, R20211203-P2, que contém uma versão atualizada do Log4j2 em todas as regiões. É altamente recomendável que os clientes atualizem seus clusters do OpenSearch para essa versão o mais rápido possível.

Amazon RDS

O Amazon RDS e o Amazon Aurora estão aplicando atualizações para abordar ativamente todo o uso de serviços pelo Log4j2. Mecanismos de banco de dados relacional criados pelo RDS não incluem a biblioteca do Apache Log4j2. No caso em que há envolvimento de fornecedores, estamos aplicando a atenuação recomendada. Os clientes podem observar eventos intermitentes durante a atualização dos componentes internos.

Amazon S3

Em 11 de dezembro de 2021, o Amazon S3 concluiu a aplicação de patches para o problema com o Apache Log4j2 (CVE-2021-44228) referente à entrada e à saída de dados do S3. Também concluímos a aplicação de patches em todos os outros sistemas do S3 que usavam o Log4j2.

Amazon Simple Notification Service (SNS)

Os sistemas do Amazon SNS que servem tráfego do cliente receberam patches contra o problema com o Log4j2. Estamos trabalhando para aplicar o patch do Log4j2 a subsistemas que operam separadamente dos sistemas do SNS servem tráfego do cliente.

Amazon Simple Workflow Service (SWF)

O Amazon Simple Workflow Service (SWF) foi atualizado para atenuar os problemas identificados no CVE-2021-44228.

AWS CloudHSM

As versões do AWS CloudHSM JCE SDK anteriores a 3.4.1 incluem uma versão do Apache Log4j afetada por esse problema. Em 10 de dezembro de 2021, o CloudHSM lançou o JCE SDK v3.4.1 com uma versão reparada do Apache Log4j. Se estiver usando versões do CloudHSM JCE anteriores a 3.4.1, é possível que você seja afetado e, portanto, convém atenuar o problema atualizando o CloudHSM JCE SDK para a versão 3.4.1 ou superior.

AWS Elastic Beanstalk

O AWS Elastic Beanstalk instala o Log4j dos repositórios de pacotes padrão do Amazon Linux em suas plataformas Tomcat para o Amazon Linux 1 e o Amazon Linux 2. As versões do Log4j disponíveis nos repositórios do Amazon Linux 1 e do Amazon Linux 2 não são afetadas pelo CVE-2021-44228.

Se você fez alterações de configuração no uso do Log4j pela sua aplicação, recomendamos que tome medidas para atualizar o código da aplicação com o objetivo de atenuar esse problema.

De acordo com nossas práticas normais, se patches dessas versões padrão do repositório de pacotes forem lançados, o Elastic Beanstalk os incluirá no próximo lançamento de versão da plataforma Tomcat para o Amazon Linux 1 e o Amazon Linux 2.

Informações adicionais sobre atualizações de software relacionadas à segurança para o Amazon Linux estão disponíveis na Central de Segurança do Amazon Linux.

AWS Glue

O AWS Glue está ciente do problema de segurança recentemente divulgado que está relacionado ao utilitário de código aberto Apache “Log4j2" (CVE-2021-44228). Atualizamos nossa frota de ambientes de gerenciamento que atende às APIs do AWS Glue para todas as versões compatíveis do Glue.

O AWS Glue cria um novo ambiente Spark que, em nível de rede e gerenciamento, é isolado de todos os outros ambientes Spark dentro da conta de serviço do AWS Glue. Seus trabalhos de ETL são executados em um ambiente de locatário único. Se você carregou um arquivo jar personalizado para uso em seus trabalhos de ETL ou em Endpoints de desenvolvimento que inclui uma versão específica do Apache Log4j, convém atualizar esse jar para usar a versão mais recente do Apache Log4j.

O AWS Glue também está aplicando proativamente as atualizações ao novo ambiente Spark em todas as regiões com suporte. Se tiver dúvidas ou desejar assistência adicional, entre em contato com o AWS Support.

AWS Greengrass

Atualizações para todos os componentes do AWS Greengrass V2 que usam o Log4j estão disponíveis para implantação desde 10/12/2021. Esses componentes são: Stream Manager (2.0.14) e Secure Tunneling (1.0.6). A AWS recomenda que os clientes que estejam usando esses componentes do Greengrass implantem as versões mais recentes em seus dispositivos.

O recurso Stream Manager das versões 1.10.x e 1.11.x do Greengrass usa o Log4j. Uma atualização para o recurso Stream Manager está incluída nas versões de patch 1.10.5 e 1.11.5 do Greengrass, ambas disponíveis desde 12/12/2021. É altamente recomendável que os clientes com as versões 1.10.x e 1.11.x que têm o Stream Manager habilitado em seus dispositivos (ou que possam vir a habilitá-lo no futuro) atualizem seus dispositivos para as versões mais recentes.

AWS Lake Formation

Os hosts de serviços do AWS Lake Formation estão sendo atualizados para a versão mais recente do Log4j com o objetivo de resolver o problema com as versões mencionadas no CVE-2021-44228.

AWS Lambda

O AWS Lambda não inclui o Log4j2 em seus tempos de execução gerenciados ou em imagens de contêiner base. Portanto, estes não são afetados pelo problema descrito no CVE-2021-44228. Os clientes que usam a biblioteca aws-lambda-java-log4j2 library em suas funções precisarão atualizar para a versão 1.3.0 e repetir a implantação.

AWS SDK

O AWS SDK for Java usa uma fachada de registro em log e não tem uma dependência de tempo de execução no Log4j. No momento, não acreditamos que seja necessário fazer alterações no AWS SDK for Java com relação a esse problema.

AWS Step Functions

O AWS Step Functions foi atualizado para atenuar os problemas identificados no CVE-2021-44228.

AWS Web Application Firewall (WAF)

Para melhorar a detecção e a atenuação relacionadas ao problema de segurança recente com o Log4j, os clientes do CloudFront, do Application Load Balancer (ALB), do API Gateway e do AppSync podem opcionalmente habilitar o AWS WAF e aplicar duas Regras gerenciadas da AWS (AMRs): AWSManagedRulesKnownBadInputsRuleSet e AWSManagedRulesAnonymousIpList.

AWSManagedRulesKnownBadInputsRuleSet inspeciona o URI da solicitação, o corpo e os cabeçalhos comumente usados, enquanto AWSManagedRulesAnonymousIpList ajuda a bloquear solicitações de serviços que permitem a ofuscação da identidade do visualizador. Você pode aplicar essas regras criando uma ACL da Web do AWS WAF, adicionando um ou ambos os conjuntos de regras a essa ACL da Web e associando a ACL da Web às suas APIs de distribuição do CloudFront, do ALB, do API Gateway ou do AppSync GraphQL.

Continuamos a iterar o grupo de regras AWSManagedRulesKnownBadInputsRuleSet à medida que aprendemos mais. Para receber atualizações automáticas para o conjunto de regras AWSManagedRulesKnownBadInputsRuleSet, escolha a versão padrão. Clientes que usam o AWS WAF Classic precisarão migrar para o AWS WAF ou criar condições de correspondência de expressões regulares personalizadas. Os clientes podem usar o AWS Firewall Manager, que permite configurar regras do AWS WAF em várias contas e recursos da AWS em um único local. Você pode agrupar regras, criar políticas e aplicá-las de forma centralizada em toda a sua infraestrutura.

NICE

Devido a um CVE na biblioteca do Apache Log4j, incluída no EnginFrame da versão 2020.0 até 2021.0-r1307, a NICE recomenda uma atualização para a versão mais recente do EnginFrame ou uma atualização da biblioteca Log4j na instalação do EnginFrame seguindo as instruções no site de suporte.

Fique à vontade para entrar em contato conosco.

A AWS está ciente do problema de segurança recentemente divulgado que está relacionado ao utilitário de código aberto Apache “Log4j2" (CVE-2021-44228). Estamos monitorando ativamente esse problema e trabalhando para solucioná-lo em todos os serviço da AWS que usem o Log4j2 ou que o forneça aos clientes como parte do seu funcionamento.

Recomendamos que os clientes que gerenciam ambientes que incluem o Log4j2 atualizem para a versão mais recente ou usem o mecanismo de atualização de software de seus sistemas operacionais. Informações adicionais específicas de cada serviço estão indicadas a seguir.

Se precisar de mais detalhes ou assistência, entre em contato com o AWS Support.

S3

Em 11 de dezembro de 2021, o S3 concluiu a aplicação de patches para o problema com o Apache Log4j2 (CVE-2021-44228) referente à entrada e à saída de dados do S3. Também concluímos a aplicação de patches em todos os outros sistemas do S3 que usavam o Log4j2.

Amazon OpenSearch

O Amazon OpenSearch Service está implantando uma atualização de software de serviço (versão R20211203-P2) que contém uma versão atualizada do Log4j2. Notificaremos os clientes assim que essa atualização estiver disponível em suas regiões e atualizaremos este boletim assim que ela estiver globalmente disponível.

AWS Lambda

O AWS Lambda não inclui o Log4j2 em seus tempos de execução gerenciados ou em imagens de contêiner base. Portanto, estes não são afetados pelo problema descrito no CVE-2021-44228. Os clientes que usam a biblioteca aws-lambda-java-log4j2 library em suas funções precisarão atualizar para a versão 1.3.0 e repetir a implantação.

AWS CloudHSM

As versões do CloudHSM JCE SDK anteriores a 3.4.1 incluem uma versão do Apache Log4j afetada por esse problema. Em 10 de dezembro de 2021, o CloudHSM lançou o JCE SDK v3.4.1 com uma versão reparada do Apache Log4j. Se estiver usando versões do CloudHSM JCE anteriores a 3.4.1, é possível que você seja afetado e, portanto, convém atenuar o problema atualizando o CloudHSM JCE SDK para a versão 3.4.1 ou superior.

Amazon EC2

As versões do Log4j disponíveis nos repositórios do Amazon Linux 1 e do Amazon Linux 2 não são afetadas pelo CVE-2021-44228. Informações adicionais sobre atualizações de software relacionadas à segurança para o Amazon Linux estão disponíveis na Central de Segurança do Amazon Linux

API Gateway

Estamos atualizando o API Gateway para usar uma versão do Log4j2 que atenua o problema. É possível que você observe aumentos periódicos de latência para algumas APIs durante essas atualizações.

AWS Greengrass

Atualizações para todos os componentes do Greengrass V2 que usam o Log4j estão disponíveis para implantação desde 10/12/2021. Esses componentes são: Stream Manager (2.0.14) e Secure Tunneling (1.0.6). A AWS recomenda que os clientes que estejam usando esses componentes do Greengrass implantem as versões mais recentes em seus dispositivos.

O recurso Stream Manager das versões 1.10.x e 1.11.x do Greengrass usa o Log4j. Uma atualização para o recurso Stream Manager está incluída nas versões de patch 1.10.5 e 1.11.5 do Greengrass, ambas disponíveis desde 12/12/2021. É altamente recomendável que os clientes com as versões 1.10.x e 1.11.x que têm o Stream Manager habilitado em seus dispositivos (ou que possam vir a habilitá-lo no futuro) atualizem seus dispositivos para as versões mais recentes.

CloudFront

Os serviços do CloudFront foram atualizados para atenuar os problemas identificados no CVE-2021-44228. Os serviços de tratamento de solicitações do CloudFront executados em nossos POPs não são escritos em Java e, portanto, não foram afetados por esse problema.

Elastic BeanStalk

O AWS Elastic Beanstalk instala o Log4j dos repositórios de pacotes padrão do Amazon Linux em suas plataformas Tomcat para o Amazon Linux 1 e o Amazon Linux 2. As versões do Log4j disponíveis nos repositórios do Amazon Linux 1 e do Amazon Linux 2 não são afetadas pelo CVE-2021-44228.

Se você fez alterações de configuração no uso do Log4j pela sua aplicação, recomendamos que tome medidas para atualizar o código da aplicação com o objetivo de atenuar esse problema.

De acordo com nossas práticas normais, se patches dessas versões padrão do repositório de pacotes forem lançados, o Elastic Beanstalk os incluirá no próximo lançamento de versão da plataforma Tomcat para o Amazon Linux 1 e o Amazon Linux 2.

 Informações adicionais sobre atualizações de software relacionadas à segurança para o Amazon Linux estão disponíveis na Central de Segurança do Amazon Linux

EMR

O CVE-2021-44228 afeta as versões do Apache Log4j entre 2.0 e 2.14.1 ao processar entradas de origens não confiáveis. Os clusters do EMR iniciados com as versões EMR 5 e EMR 6 incluem frameworks de código aberto, como Apache Hive, Flink, HUDI, Presto e Trino, que usam essas versões do Apache Log4j. Quando você inicia um cluster com a configuração padrão do EMR, ele não processa entradas de origens não confiáveis.

Estamos trabalhando ativamente na criação de uma atualização que atenue o problema discutido na CVE-2021-44228 quando frameworks de código aberto instaladas no cluster do EMR processam informações de origens não confiáveis.

Lake Formation

Os hosts de serviços do Lake Formation estão sendo atualizados proativamente para a versão mais recente do Log4j com o objetivo de resolver o problema de segurança com as versões mencionadas no CVE-2021-44228.

AWS SDK

O AWS SDK for Java usa uma fachada de registro em log e não tem uma dependência de tempo de execução no Log4j. No momento, não acreditamos que seja necessário fazer alterações no AWS SDK for Java com relação a esse problema.

AMS

Estamos monitorando ativamente esse problema e trabalhando para solucioná-lo em qualquer serviço do AMS que use o Log4j2. Recomendamos que os clientes que gerenciam ambientes que incluem o Log4j2 atualizem para a versão mais recente ou usando o mecanismo de atualização de software de seus sistemas operacionais.

Amazon Neptune

O Amazon Neptune inclui a biblioteca Apache Log4j2 como um componente periférico, mas não acreditamos que o problema afete os usuários do Neptune. Por precaução, os clusters do Neptune serão atualizados automaticamente para usar uma versão do Log4j2 que solucione o problema. Os clientes podem observar eventos intermitentes durante a atualização.

NICE

Devido a um CVE na biblioteca do Apache Log4j, incluída no EnginFrame da versão 2020.0 até 2021.0-r1307, a NICE recomenda uma atualização para a versão mais recente do EnginFrame ou uma atualização da biblioteca Log4j na instalação do EnginFrame seguindo as instruções no site de suporte.

Fique à vontade para entrar em contato conosco.

Kafka

O Managed Streaming for Apache Kafka está ciente do problema recentemente divulgado (CVE-2021-44228) relacionado à biblioteca do Apache Log4j2 e está aplicando atualizações conforme necessário. Vale ressaltar que as compilações do Apache Kafka e do Apache Zookeeper oferecidas no MSK atualmente usam a biblioteca log4j 1.2.17, que não é afetada por esse problema. Alguns componentes de serviços específicos do MSK usam a biblioteca log4j > 2.0.0 e estão recebendo patches quando necessário.

AWS Glue

O AWS Glue está ciente do problema de segurança recentemente divulgado que está relacionado ao utilitário de código aberto Apache “Log4j2" (CVE-2021-44228). Atualizamos nossa frota de ambientes de gerenciamento que atende às APIs do AWS Glue para todas as versões compatíveis do Glue.

​O AWS Glue cria um novo ambiente Spark que, em nível de rede e gerenciamento, é isolado de todos os outros ambientes Spark dentro da conta de serviço do AWS Glue. Seus trabalhos de ETL são executados em um ambiente de locatário único. Se os seus trabalhos de ETL carregam uma versão específica do Apache Log4j, é recomendável atualizar seus scripts para usar a versão mais recente do Apache Log4j. Se você usa endpoints de desenvolvimento do AWS Glue para criar scripts, é recomendável atualizar a versão do Log4j que você usa lá também.

​O AWS Glue também está aplicando proativamente as atualizações ao novo ambiente Spark em todas as regiões com suporte. Se tiver dúvidas ou desejar assistência adicional, entre em contato conosco por meio do AWS Support.

RDS

O Amazon RDS e o Amazon Aurora estão aplicando atualizações para abordar ativamente todo o uso de serviços pelo Log4j2. Mecanismos de banco de dados relacional criados pelo RDS não incluem a biblioteca do Apache Log4j. No caso em que há envolvimento de fornecedores, estamos aplicando a atenuação recomendada. Os clientes podem observar eventos intermitentes durante a atualização dos componentes internos.

Amazon Connect

Os serviços do Amazon Connect foram atualizados para atenuar os problemas identificados no CVE-2021-44228.

Amazon DynamoDB 

O Amazon DynamoDB e o Amazon DynamoDB Accelerator (DAX) foram atualizados para atenuar os problemas identificados na CVE-2021-44228.

Amazon Keyspaces (for Apache Cassandra)

O Amazon Keyspaces (for Apache Cassandra) foi atualizado para atenuar os problemas identificados no CVE-2021-44228.

Amazon MQ

O Amazon MQ tem duas áreas de consideração no que diz respeito ao problema divulgado recentemente (CVE-2021-44228) relacionado à biblioteca do Apache Log4j2: código de serviço do Amazon MQ (específico da AWS) e código aberto (agentes de mensagens Apache ActiveMQ e RabbitMQ).

Em 13 de dezembro de 2021, concluímos todas as atualizações necessárias para o código do serviço do Amazon MQ para solucionar o problema.

Não há necessidade de atualizações nos agentes de mensagens de código aberto. Todas as versões do Apache ActiveMQ oferecidas no Amazon MQ usam o Log4j versão 1.2.x, que não é afetado por esse problema. O RabbitMQ não usa o Log4j e não é afetado por esse problema.

Kinesis Data Analytics

As versões do Apache Flink com suporte pelo Kinesis Data Analytics incluem versões do Apache Log4j entre 2.0 e 2.14.1. As aplicações Kinesis Data Analytics operam em ambientes isolados de locatário único e não conseguem interagir umas com as outras.

Estamos atualizando a versão do Log4j disponível para aplicações de clientes do Kinesis Data Analytics em todas as regiões da AWS. As aplicações iniciadas ou atualizadas após as 18h30, horário do pacífico, de 12/12/2021 receberão automaticamente o patch atualizado. Clientes cujas aplicações foram iniciadas ou atualizadas antes disso podem garantir que suas aplicações sejam executadas na versão atualizada do Log4j chamando a API UpdateApplication do Kinesis Data Analytics. Consulte mais informações sobre a API UpdateApplication.

A AWS está ciente do problema de segurança recentemente divulgado que está relacionado ao utilitário de código aberto Apache “Log4j2" (CVE-2021-44228). Estamos monitorando ativamente esse problema e trabalhando para solucioná-lo em todos os serviço da AWS que usem o Log4j2 ou que o forneça aos clientes como parte do seu funcionamento.

Recomendamos que os clientes que gerenciam ambientes que incluem o Log4j2 atualizem para a versão mais recente ou usem o mecanismo de atualização de software de seus sistemas operacionais.

Foi relatado que o uso do Log4j2 em JDKs após 8u121 ou 8u191 (incluindo o JDK 11 e posteriores) atenua o problema, mas isso é apenas uma atenuação parcial. A única solução abrangente é atualizar o Log4j2 para a versão 2.15, e as versões do Log4j2 anteriores à 2.15 devem ser consideradas afetadas, independentemente da distribuição ou versão do JDK usada.

Informações adicionais específicas de cada serviço estão indicadas a seguir.

Se precisar de mais detalhes ou assistência, entre em contato com o AWS Support.

API Gateway

Estamos atualizando o API Gateway para usar uma versão do Log4j2 que atenua o problema. É possível que você observe aumentos periódicos de latência para algumas APIs durante essas atualizações.

AWS Greengrass

Atualizações para todos os componentes do Greengrass V2 que usam o Apache Log4j estão disponíveis para implantação desde 10/12/2021. Esses componentes são: Stream Manager (2.0.14) e Secure Tunneling (1.0.6). A AWS recomenda que os clientes que estejam usando esses componentes do Greengrass implantem as versões mais recentes em seus dispositivos.

Espera-se que as atualizações para as versões 1.10 e 1.11 do Greengrass estejam disponíveis até 17/12/2021. É recomendável que os clientes que usam o Stream Manager nesses dispositivos atualizem seus dispositivos assim que os binários do Greengrass forem disponibilizados para essas versões. Enquanto isso, eles devem verificar se os seus códigos Lambda personalizados usando o Stream Manager no Greengrass 1.10 ou 1.11 não estão usando nomes de fluxo e nomes de arquivo arbitrários (para o exportador do S3) fora do controle do cliente, por exemplo, um nome de fluxo ou nome de arquivo contendo o texto “${".

Amazon MQ

O Amazon MQ tem duas áreas de consideração no que diz respeito ao problema divulgado recentemente (CVE-2021-44228) relacionado à biblioteca do Apache Log4j2: código de serviço do Amazon MQ (específico da AWS) e código aberto (agentes de mensagens Apache ActiveMQ e RabbitMQ).

Estamos aplicando as atualizações necessárias ao código do serviço do Amazon MQ para solucionar o problema.

Não há necessidade de atualizações nos agentes de mensagens de código aberto. Todas as versões do Apache ActiveMQ oferecidas no Amazon MQ usam o Log4j versão 1.x, que não é afetado por esse problema. O RabbitMQ não usa o Log4j2 e não é afetado por esse problema.

CloudFront

Os serviços do CloudFront foram atualizados para atenuar os problemas identificados no CVE-2021-44228. Os serviços de tratamento de solicitações do CloudFront executados em nossos POPs não são escritos em Java e, portanto, não foram afetados por esse problema.

AWS Elastic Beanstalk

O AWS Elastic Beanstalk instala o Log4j dos repositórios de pacotes padrão do Amazon Linux em suas plataformas Tomcat para o Amazon Linux 1 e o Amazon Linux 2. As versões do Log4j disponíveis nos repositórios do Amazon Linux 1 e do Amazon Linux 2 não são afetadas pelo CVE-2021-44228.

Se você fez alterações de configuração no uso do Log4j pela sua aplicação, recomendamos que tome medidas para atualizar o código da aplicação com o objetivo de atenuar esse problema.

De acordo com nossas práticas normais, se patches dessas versões padrão do repositório de pacotes forem lançados, o Elastic Beanstalk os incluirá no próximo lançamento de versão da plataforma Tomcat para o Amazon Linux 1 e o Amazon Linux 2.

Informações adicionais sobre atualizações de software relacionadas à segurança para o Amazon Linux estão disponíveis na Central de Segurança do Amazon Linux.

EMR

O CVE-2021-44228 afeta as versões do Apache Log4j entre 2.0 e 2.14.1 ao processar entradas de origens não confiáveis. Os clusters do EMR iniciados com as versões EMR 5 e EMR 6 incluem frameworks de código aberto, como Apache Hive, Flink, HUDI, Presto e Trino, que usam essas versões do Apache Log4j. Quando você inicia um cluster com a configuração padrão do EMR, ele não processa entradas de origens não confiáveis.

Estamos trabalhando ativamente na criação de uma atualização que atenue o problema discutido na CVE-2021-44228 quando frameworks de código aberto instaladas no cluster do EMR processam informações de origens não confiáveis.

Lake Formation

Os hosts de serviços do Lake Formation estão sendo atualizados proativamente para a versão mais recente do Log4j com o objetivo de resolver o problema com as versões mencionadas no CVE-2021-44228.

S3

A entrada e a saída de dados do S3 receberam patches contra o problema com o Log4j2. Estamos trabalhando para aplicar o patch do Log4j2 aos sistemas S3 que operam separadamente da entrada e saída de dados do S3.

AWS SDK

O AWS SDK for Java usa uma fachada de registro em log e não tem uma dependência de tempo de execução no Log4j. No momento, não acreditamos que seja necessário fazer alterações no AWS SDK for Java com relação a esse problema.

AMS

Estamos monitorando ativamente esse problema e trabalhando para solucioná-lo em qualquer serviço do AMS que use o Log4j2. Recomendamos que os clientes que gerenciam ambientes que incluem o Log4j2 atualizem para a versão mais recente ou usem o mecanismo de atualização de software de seus sistemas operacionais.

O AMS recomenda a implantação do Web Application Firewall (WAF) para todos os endpoints de aplicação acessíveis pela Internet. O serviço AWS WAF pode ser configurado para fornecer uma camada adicional de defesa contra esse problema por meio da implantação do conjunto de regras AWSManagedRulesAnonymousIplist (que contém regras para bloquear origens conhecidas por manter anônimas as informações do cliente, como nós TOR) e do conjunto de regras AWSManagedRulesKnownBadInputsRuleSet (que inspeciona o URI, o corpo da solicitação e os cabeçalhos comumente usados para ajudar a bloquear solicitações relacionadas ao Log4j e outros problemas).

O AMS continuará monitorando esse problema e fornecerá detalhes e recomendações adicionais assim que estiverem disponíveis.

Amazon Neptune

O Amazon Neptune inclui a biblioteca Apache Log4j2 como um componente periférico, mas não acreditamos que o problema afete os usuários do Neptune. Por precaução, os clusters do Neptune serão atualizados automaticamente para usar uma versão do Log4j2 que solucione o problema. Os clientes podem observar eventos intermitentes durante a atualização.

NICE

Devido a um CVE na biblioteca do Apache Log4j, incluída no EnginFrame da versão 2020.0 até 2021.0-r1307, a NICE recomenda uma atualização para a versão mais recente do EnginFrame ou uma atualização da biblioteca Log4j na instalação do EnginFrame seguindo as instruções no site de suporte.

Fique à vontade para entrar em contato conosco.

Kafka

O Managed Streaming for Apache Kafka está ciente do problema recentemente divulgado (CVE-2021-44228) relacionado à biblioteca do Apache Log4j2 e está aplicando atualizações conforme necessário. Vale ressaltar que as compilações do Apache Kafka e do Apache Zookeeper oferecidas no MSK atualmente usam a biblioteca Log4j 1.2.17, que não é afetada por esse problema. Alguns componentes de serviços específicos do MSK usam a biblioteca Log4j > 2.0.0 e estão recebendo patches quando necessário.

AWS Glue

O AWS Glue está ciente do problema de segurança recentemente divulgado que está relacionado ao utilitário de código aberto Apache “Log4j2" (CVE-2021-44228). Atualizamos nossa frota de ambientes de gerenciamento que atende às APIs do AWS Glue para todas as versões compatíveis do Glue.

O AWS Glue cria um novo ambiente Spark que, em nível de rede e gerenciamento, é isolado de todos os outros ambientes Spark dentro da conta de serviço do AWS Glue. Seus trabalhos de ETL são executados em um ambiente de locatário único. Se os seus trabalhos de ETL carregam uma versão específica do Apache Log4j, é recomendável atualizar seus scripts para usar a versão mais recente do Apache Log4j. Se você usa endpoints de desenvolvimento do AWS Glue para criar scripts, é recomendável atualizar a versão do Log4j que você usa lá também.

O AWS Glue também está aplicando proativamente as atualizações ao novo ambiente Spark em todas as regiões com suporte. Se tiver dúvidas ou desejar assistência adicional, entre em contato conosco por meio do AWS Support.

RDS

O Amazon RDS e o Amazon Aurora estão aplicando atualizações para abordar ativamente todo o uso de serviços pelo Log4j2. Mecanismos de banco de dados relacional criados pelo RDS não incluem a biblioteca do Apache Log4j. No caso em que há envolvimento de fornecedores, estamos aplicando a atenuação recomendada. Os clientes podem observar eventos intermitentes durante a atualização dos componentes internos.

OpenSearch

O Amazon OpenSearch Service está implantando uma atualização de software de serviço (versão R20211203-P2) que contém uma versão atualizada do Log4j2. Notificaremos os clientes assim que essa atualização estiver disponível em suas regiões e atualizaremos este boletim assim que ela estiver globalmente disponível.