AWS 注意到了最近披露的開放原始碼 Apache “Log4j2" 公用程式 (CVE-2021-44228 和 CVE-2021-45046) 相關問題。

應對諸如此類的安全問題顯示了擁有多層防禦技術的價值,這對於確保客戶資料和工作負載的安全非常重要。

我們非常重視這個問題,而且我們一流的工程師團隊已將此處提供的 Amazon 開發的 Java 熱修補程式全面部署至所有 AWS 服務。熱修補程式將更新 Java VM 以停用 Java 命名與目錄介面 (JNDI) 類別的載入,將其取代為無害的通知訊息,這可緩解 CVE-2021-44228 和 CVE-2021-45046 相關問題。  我們很快會完成將更新的 Log4j 程式庫部署至我們所有的服務。  如需有關 Java 熱修補程式的詳細資訊,請瀏覽 https://aws.amazon.com/blogs/security/open-source-hotpatch-for-apache-log4j-vulnerability/

即使部署了此熱修補程式,客戶仍應盡快安全地部署更新的 Log4j 程式庫,就像我們在 AWS 上所做的那樣。

如需有關如何使用 AWS 服務偵測和修復 Log4j CVE 的更多詳細資訊,請在此處閱讀我們最新的部落格。

在此最終佈告之後,無需進一步的服務特定更新。

如果您需要其他詳細資訊或協助,請聯絡 AWS Support。

Amazon Connect

Amazon Connect 已更新,以緩解 CVE-2021-44228 中確定的問題。

建議客戶評估其環境中位於 Amazon Connect 服務邊界之外的元件 (如從聯絡流程呼叫的 Lambda 函數),這些元件可能需要單獨/額外的客戶緩解措施。

Amazon Chime

Amazon Chime SDK 服務已更新,以緩解 CVE-2021-44228 和 CVE-2021-45046 中確定的問題。

Amazon Chime 服務已更新,以緩解 CVE-2021-44228 和 CVE-2021-45046 中確定的問題。

Amazon EMR

在處理來自不受信任來源的輸入時,CVE-2021-44228 會影響 2.0 和 2.14.1 之間的 Apache Log4j 版本。隨 EMR 5 和 EMR 6 版本推出的 EMR 叢集包括開放原始碼架構,例如 Apache Hive、Apache Flink、HUDI、Presto 和 Trino,它們使用這些版本的 Apache Log4j。當您使用 EMR 的預設組態啟動叢集時,它不會處理來自不受信任來源的輸入。許多客戶使用安裝在其 EMR 叢集上的開放原始碼架構,來處理和記錄不受信任來源的輸入。因此,AWS 建議您運用這裡描述的解決方案。

Amazon Fraud Detector

Amazon Fraud Detector 服務已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon Kendra

Amazon Kendra 已更新,以緩解 CVE-2021-44228 相關問題。

Amazon Lex

Amazon Lex 已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon Lookout for Equipment

Amazon Lookout for Equipment 已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon Macie

Amazon Macie 服務已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon Macie Classic

Amazon Macie Classic 服務已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon Monitron

Amazon Monitron 已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon RDS

Amazon RDS 和 Amazon Aurora 已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon Rekognition

Amazon Rekognition 服務已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon VPC

Amazon VPC,包括網際網路閘道和虛擬閘道服務已更新,以緩解 CVE-2021-44228 中提到的 Log4j 問題。

AWS AppSync

AWS AppSync 已更新,以緩解 CVE-2021-44228 和 CVE-2021-45046 中確定的問題。

AWS Certificate Manager

AWS Certificate Manager 服務已更新,以緩解 CVE-2021-44228 中確定的問題。

ACM Private CA 服務已更新,以緩解 CVE-2021-44228 中確定的問題。

AWS Service Catalog

AWS Service Catalog 已更新,以緩解 CVE-2021-44228 中確定的問題。

AWS Systems Manager

AWS Systems Manager 服務已更新,以緩解 CVE-2021-44228 中確定的問題。Systems Manager Agent 本身不受此問題的影響。

AWS 注意到了最近披露的開放原始碼 Apache “Log4j2" 公用程式 (CVE-2021-44228 和 CVE-2021-45046) 相關問題。

應對諸如此類的安全問題顯示了擁有多層防禦技術的價值,這對於確保客戶資料和工作負載的安全非常重要。我們非常重視這個問題,我們一流的工程師團隊一直在夜以繼日地進行回應和修復。我們希望迅速恢復我們縱深防禦的完整狀態。

我們在 AWS 內部廣泛開發和部署的其中一項技術是,針對可能包含 Log4j 的應用程式的熱修補程式。此熱修補程式將更新 Java VM 以停用 Java 命名與目錄介面 (JNDI) 類別的載入,將其取代為無害的通知訊息,這可有效緩解 CVE-2021-44228 和 CVE-2021-45046 相關問題。

我們還將此作為開放原始碼解決方案提供,可在此處獲得。

即使部署了此熱修補程式,客戶仍應盡快安全地部署更新的 Log4j 程式庫。

如需有關如何使用 AWS 服務偵測和修復 Log4j CVE 的更多詳細資訊,請在此處閱讀我們最新的部落格。

提供的其他服務特定資訊如下。如果您需要其他詳細資訊或協助,請聯絡 AWS Support。

Amazon EKS、Amazon ECS 和 AWS Fargate

為了協助緩解開放原始碼 Apache “Log4j2” 公用程式 (CVE-2021-44228 和 CVE-2021-45046) 安全問題對客戶容器的影響,Amazon EKS、Amazon ECS 和 AWS Fargate 正在部署 Linux 更新 (熱修補程式)。此熱修補程式需要客戶選擇使用,並停用客戶容器中 Log4J2 程式庫中的 JNDI 查詢。這些更新可作為 Amazon Linux 套件供 Amazon ECS 客戶使用,作為 DaemonSet 供 AWS 上的 Kubernetes 使用者使用,並且將在受支援的 AWS Fargate 平台版本中提供。

建議在 Windows 容器上執行 Java 應用程式的客戶遵循此處的 Microsoft 指引。

Amazon ECR Public 和 Amazon ECR

在 Amazon ECR Public 上以經過驗證的帳戶發佈的 Amazon 擁有的映像不受 CVE-2021-4422 中所描述問題的影響。針對 Amazon ECR 上的客戶擁有的映像,AWS 提供 Enhanced ScanningAmazon Inspector,旨在持續掃描容器映像以查找已知安全問題,包括包含 CVE-2021-44228 的容器映像。在 Inspector 和 ECR 主控台中報告問題清單。Inspector 包含 15 天免費試用,對於 Inspector 新帳戶,可免費使用容器映像掃描。對於從第三方發佈商取用 ECR Public 中映像的客戶,客戶可以使用 ECR 最近推出的 ECR 中的 Pull Through Cache 功能,以將 ECR Public 中的這些映像複製到其 ECR 登錄檔中,並使用 Inspector 掃描來偵測安全問題。

Amazon Cognito

Amazon Cognito 服務已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon Pinpoint

Amazon Pinpoint 服務已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon EventBridge

Amazon EventBridge 已更新,以緩解 CVE-2021-44228 中確定的問題。

Elastic Load Balancing

Elastic Load Balancing 服務已更新,以緩解 CVE-2021-44228 中確定的問題。所有 Elastic Load Balancer 以及 Classic、Application、Network 和 Gateway 都不是用 Java 編寫,因此不受此問題的影響。

AWS CodePipeline


AWS CodePipeline 已更新,以緩解 CVE-2021-44228 和 CVE-2021-45046 中確定的問題。

AWS CodeBuild

AWS CodeBuild 已更新,以緩解 CVE-2021-44228 和 CVE-2021-45046 中確定的問題。

Amazon Route53


Route 53 已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon Linux


依預設,Amazon Linux 1 (AL1) 和 Amazon Linux 2 (AL2) 使用不受 CVE-2021-44228 或 CVE-2021-45046 影響的 log4j 版本。作為 AL2 一部分的新版 Amazon Kinesis Agent 解決了 CVE-2021-44228 和 CVE-2021-45046 相關問題。此外,為了協助客戶引入自己的 log4j 程式碼,Amazon Linux 發佈了新的套件,其中包含 Hotpatch for Apache log4j。您可以在這裡找到更多詳細資訊。

Amazon SageMaker

Amazon SageMaker 於 2021 年 12 月 15 日已完成對 Apache Log4j2 問題 (CVE-2021-44228) 的修補。

我們仍建議我們的客戶採取行動,透過修補已知問題來更新其所有應用程式和服務。建議對此問題採取行動的客戶透過 PHD 接收詳細說明。即使您不受 Log4j 問題的影響,我們也建議您重新啟動您的任務,或更新您的應用程式以使用我們的最新版軟體。

Amazon Athena

Amazon Athena 已更新,以緩解 CVE-2021-44228 中確定的問題。出售給客戶的所有版本的 Amazon Athena JDBC 驅動程式都不受此問題的影響。

AWS Certificate Manager

AWS Certificate Manager 服務已更新,以緩解 CVE-2021-44228 中確定的問題。

ACM Private CA 服務已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon AppFlow

Amazon AppFlow 已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon Polly

Amazon Polly 已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon QuickSight

Amazon QuickSight 已更新,以緩解 CVE-2021-44228 中確定的問題。

AWS Textract

AWS Textract 服務已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon Corretto

10 月 19 日發佈的最新 Amazon Corretto 不受 CVE-2021-44228 相關問題的影響,因為 Corretto 發行版不含 Log4j。建議客戶在所有使用 Log4j 的應用程式中更新至最新版,包括直接相依項、間接相依項和陰影 jar。
 

AWS 注意到了最近披露的開放原始碼 Apache “Log4j2" 公用程式 (CVE-2021-44228) 相關安全問題。

應對諸如此類的安全問題顯示了擁有多層防禦技術的價值,這對於確保客戶資料和工作負載的安全非常重要。我們非常重視這個問題,我們一流的工程師團隊一直在夜以繼日地進行回應和修復。我們希望迅速恢復我們縱深防禦的完整狀態。

我們在開發和部署的其中一項技術是,針對可能包含 Log4j 的應用程式的熱修補程式。我們還將此作為開放原始碼解決方案提供,可在此處獲得。

即使部署了此熱修補程式,客戶仍應盡快計劃安全地部署更新的 Log4j 程式庫。

提供的其他服務特定資訊如下。如果您需要其他詳細資訊或協助,請聯絡 AWS Support。

Amazon Kinesis

新版 Kinesis Agent 解決了最近披露的 Apache Log4j2 程式庫問題 (CVE-2021-44228),可在此處獲得。

Amazon Inspector

Amazon Inspector 服務針對 Log4j 問題進行了修補。

Inspector 服務可協助偵測客戶 EC2 工作負載和 ECR 映像中的 CVE-2021-44228 (Log4Shell) 相關問題。偵測項目前適用於 Linux 上受影響的作業系統級套件。這些包括但不限於 Debian 的 apache-log4j2 和 liblog4j2-java;SUSE 的 log4j、log4jmanual 和 log4j12;以及 Elasticsearch for Alpine、Centos、Debian、Red Hat、SUSE 和 Ubuntu。隨著各個分發安全團隊確定進一步的影響,將會新增額外的偵測項。Inspector 分解存放在 ECR 映像中的 Java 檔案,並為受影響的套件或應用程式產生問題清單。這些問題清單將在 “CVE-2021-44228” 或 “IN1-JAVA-ORGAPACHELOGGINGLOG4J-2314720 - org.apache.logging.log4j:log4j-core” 下的 Inspector 主控台中標識。

Amazon Inspector Classic

Amazon Inspector 服務針對 Log4j 問題進行了修補。

Inspector Classic 服務可協助偵測客戶 EC2 工作負載中的 CVE-2021-44228 (Log4Shell) 相關問題。CVE-2021-44228 (Log4Shell) 的偵測項目前適用於 Linux 上受影響的作業系統級套件。這些包括但不限於 Debian 的 apache-log4j2 和 liblog4j2-java;SUSE 的 log4j、log4jmanual 和 log4j12;以及 Elasticsearch for Alpine、Centos、Debian、Red Hat、SUSE 和 Ubuntu。

Amazon WorkSpaces/AppStream 2.0

根據預設組態,Amazon WorkSpaces 和 AppStream 2.0 不受 CVE-2021-44228 相關問題的影響。WorkSpaces 和 AppStream 的預設 Amazon Linux 2 映像不含 Log4j,Amazon Linux 2 預設套件儲存庫中可用的 Log4j 版本不受 CVE-2021-44228 相關問題的影響。但如果您已將 WorkDocs Sync 用戶端部署至 Windows WorkSpaces,請執行以下建議的操作。

Windows WorkSpaces 預設未安裝 WorkDocs Sync。但在 2021 年 6 月之前,WorkSpaces 曾有指向 WorkDocs Sync 用戶端安裝程式的預設桌面捷徑。WorkDocs Sync 用戶端版本 1.2.895.1 (及更早版本) 包含 Log4j 元件。如果您已將舊的 WorkDocs Sync 用戶端版本部署至 WorkSpaces,請透過 SCCM 之類的管理工具重新啟動 WorkSpaces 上的 Sync 用戶端,或指示您的 WorkSpaces 使用者從已安裝程式清單中手動開啟 Sync 用戶端 – “Amazon WorkDocs”。在啟動時,Sync 用戶端會自動更新至不受 CVE-2021-44228 相關問題影響的最新版 1.2.905.1。Workdocs Drive 和 Workdocs Companion 應用程式不受該問題的影響。

Amazon Timestream

Amazon Timestream 已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon DocumentDB

截至 2021 年 12 月 13 日,Amazon DocumentDB 已經過修補,以緩解 CVE-2021-44228 中提到的 Log4j 問題。

Amazon CloudWatch

Amazon CloudWatch 服務已更新,以緩解 CVE-2021-44228 中確定的問題。

AWS Secrets Manager

AWS Secrets Manager 已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon Single Sign-On

Amazon Single Sign-On 服務已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon RDS Oracle

Amazon RDS Oracle 已更新服務中使用的 Log4j2 版本。對 RDS 執行個體的存取繼續受您的 VPC 和其他安全控制的限制,例如安全群組和網路存取控制清單 (ACL)。強烈建議您檢閱這些設定,以確保對您的 RDS 執行個體進行適當的存取管理。

根據 Oracle 支援文件 2827611.1,Oracle 資料庫本身不受此問題的影響。

Amazon Cloud Directory

Amazon Cloud Directory 已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon Simple Queue Service (SQS)

Amazon Simple Queue Service (SQS) 於 2021 年 12 月 13 日已完成對 SQS 資料輸入和輸出之 Apache Log4j2 問題 (CVE-2021-44228) 的修補。我們還完成對使用 Log4j2 之所有其他 SQS 系統的修補。

AWS KMS

AWS KMS 已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon Redshift

Amazon Redshift 叢集已自動更新,以緩解 CVE-2021-44228 中確定的問題。

AWS Lambda

AWS Lambda 未在其受管執行時間或基礎容器映像中包含 Log4j2。因此,這些不會受 CVE-2021-44228 和 CVE-2021-45046 中所描述的問題影響。

對於客戶函數包含受影響 Log4j2 版本的情況,我們已套用變更至 Lambda Java 受管執行時間基本容器映像 (Java 8、AL2 上的 Java 8 和 Java 11),這有助於緩解 CVE-2021-44228 和 CVE-2021-45046 相關問題。使用受管執行時間的客戶會自動套用變更。使用容器映像的客戶需要從最新的基本容器映像重建並重新部署。

若與此變更無關,強烈建議其函數包含 Log4j2 的所有客戶更新至最新版本。具體而言,在其函數中使用 aws-lambda-java-log4j2 程式庫的客戶應更新至版本 1.4.0 並重新部署其函數。此版本將基礎 Log4j2 公用程式相依項更新至版本 2.16.0。更新的 aws-lambda-java-log4j2 二進位檔可在 Maven 儲存庫中獲取,其來源程式碼可在 Github 中獲取。

AWS 注意到了最近披露的開放原始碼 Apache “Log4j2" 公用程式 (CVE-2021-44228) 相關安全問題。

應對諸如此類的安全問題顯示了擁有多層防禦技術的價值,這對於確保客戶資料和工作負載的安全非常重要。我們非常重視這個問題,我們一流的工程師團隊一直在夜以繼日地進行回應和修復。我們希望迅速恢復我們縱深防禦的完整狀態。

我們仍建議我們的客戶採取行動,透過修補已知問題來更新其所有應用程式和服務,並繼續遵循我們精心編製的指引。

提供的其他服務特定資訊如下。如果您需要其他詳細資訊或協助,請聯絡 AWS Support。

Amazon API Gateway

截至 2021 年 12 月 13 日,所有 Amazon API Gateway 主機已經過修補,以緩解 CVE-2021-44228 中提到的 Log4j 問題。

Amazon CloudFront

Amazon CloudFront 服務已更新,以緩解 CVE-2021-44228 中確定的問題。在 POP 中執行的 CloudFront 請求處理服務並非使用 Java 編寫,因此,不受此問題的影響。

Amazon Connect

Amazon Connect 服務已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon DynamoDB

Amazon DynamoDB 和 Amazon DynamoDB Accelerator (DAX) 已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon EC2

Amazon Linux 1 和 Amazon Linux 2 儲存庫中可用的 Log4j 版本不受 CVE-2021-44228 的影響。有關 Amazon Linux 之安全相關軟體更新的更多資訊,請造訪 Amazon Linux 安全中心

Amazon ElastiCache

Amazon ElastiCache 的 Redis 引擎未在其受管執行時間或基礎容器映像中包含 Log4j2。Amazon ElastiCache 於 2021 年 12 月 12 日已完成對 Apache Log4j2 問題 (CVE-2021-44228) 的修補。

Amazon EMR

在處理來自不受信任來源的輸入時,CVE-2021-44228 會影響 2.0 和 2.14.1 之間的 Apache Log4j 版本。隨 EMR 5 和 EMR 6 版本推出的 EMR 叢集包括開放原始碼架構,例如 Apache Hive、Apache Flink、HUDI、Presto 和 Trino,它們使用這些版本的 Apache Log4j。當您使用 EMR 的預設組態啟動叢集時,它不會處理來自不受信任來源的輸入。

我們正在積極建置一個更新,以便當安裝在您的 EMR 叢集上的開放原始碼架構處理來自不受信任來源的資訊時,可以緩解 CVE-2021-44228 中討論的問題。

AWS IoT SiteWise Edge

所有使用 Log4j 的 AWS IoT SiteWise Edge 元件的更新已於 2021 年 12 月 13 日開放部署。這些元件包括:OPC-UA collector (v2.0.3)、Data processing pack (v2.0.14) 和 Publisher (v2.0.2)。AWS 建議使用這些元件的客戶將最新版部署至其 SiteWise Edge 閘道。

Amazon Keyspaces (適用於 Apache Cassandra)

Amazon Keyspaces (適用於 Apache Cassandra) 已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon Kinesis Data Analytics

Amazon Kinesis Data Analytics 支援的 Apache Flink 版本包括 2.0 到 2.14.1 之間的 Apache Log4j 版本。Kinesis Data Analytics 應用程式在單一租用戶、隔離的環境中執行,不能相互互動。

我們正在更新適用於所有 AWS 區域之 Kinesis Data Analytics 客戶應用程式的 Log4j 版本。2021 年 12 月 12 日太平洋標準時間下午 6:30 之後啟動或更新的應用程式將自動收到更新的修補程式。其應用程式在此之前啟動或更新的客戶可以透過叫用 Kinesis Data Analytics UpdateApplication API 來確保其應用程式在更新版本的 Log4j 上執行。服務的文件中提供了有關 UpdateApplication API 的詳細資訊。

Amazon Kinesis Data Streams

我們正透過套用更新來積極修補所有使用 Log4j2 的子系統。Kinesis Client Library (KCL) 2.X 版和 Kinesis Producer Library (KPL) 不受影響。對於使用 KCL 1.x 的客戶,我們已發佈更新版本,強烈建議所有 KCL 1.x 版客戶升級至 KCL 1.14.5 版 (或更新版本),該版本可在此處獲得。

Amazon Managed Streaming for Apache Kafka (MSK)

我們注意到了最近披露的 Apache Log4j2 程式庫相關問題 (CVE-2021-44228),且正在根據需要套用更新。請注意,MSK 中提供的 Apache Kafka 和 Apache Zookeeper 建置目前使用 Log4j 1.2.17,不受此問題影響。一些 MSK 特定的服務元件使用 Log4j > 2.0.0 程式庫,並且正在根據需要進行修補。

Amazon Managed Workflows for Apache Airflow (MWAA)

對於最近披露的 Apache Log4j2 程式庫相關問題 (CVE-2021-44228),MWAA 有兩個需要考量的方面:Amazon MWAA 服務程式碼 (特定於 AWS) 和開放原始碼 (Apache Airflow)。

截至 2021 年 12 月 14 日,我們已完成對 MWAA 服務程式碼的所有必要更新,以解決該問題。Apache Airflow 不使用 Log4j2,因此,不受此問題影響。

強烈鼓勵已將 Log4j2 新增至其環境的客戶更新至最新版本。

Amazon MemoryDB for Redis

Amazon MemoryDB for Redis 於 2021 年 12 月 12 日已完成對 Apache Log4j2 問題 (CVE-2021-44228) 的修補。

Amazon MQ

對於最近披露的 Apache Log4j2 程式庫相關問題 (CVE-2021-44228),Amazon MQ 有兩個需要考量的方面:Amazon MQ 服務程式碼 (特定於 AWS) 和開放原始碼 (Apache ActiveMQ 和 RabbitMQ 訊息代理程式)。

截至 2021 年 12 月 13 日,我們已完成對 Amazon MQ 服務程式碼的所有必要更新,以解決該問題。
開放原始碼訊息代理程式無需更新。Amazon MQ 中提供的所有 Apache ActiveMQ 版本都使用 Log4j 版本 1.2.x,它們不受此問題的影響。RabbitMQ 未使用 Log4j,因此不受此問題的影響。

Amazon Neptune

所有作用中 Amazon Neptune 叢集已自動更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon OpenSearch Service

Amazon OpenSearch Service 已發佈關鍵服務軟體更新 R20211203-P2,其中包含所有區域的 Log4j2 更新版。強烈建議客戶盡快更新其 OpenSearch 叢集至此版本。

Amazon RDS

Amazon RDS 和 Amazon Aurora 正在透過套用更新積極解決 Log4j2 的所有服務使用問題。RDS 建置的關聯式資料庫引擎不包括 Apache Log4j2 程式庫。對於涉及上游供應商的情況,我們正在應用他們推薦的緩解措施。客戶可能會在內部元件更新期間觀察到間歇性事件。

Amazon S3

Amazon S3 於 2021 年 12 月 11 日完成了對 S3 資料輸入和輸出之 Apache Log4j2 問題 (CVE-2021-44228) 的修補。我們還完成對使用 Log4j2 之所有其他 S3 系統的修補。

Amazon Simple Notification Service (SNS)

針對 Log4j2 問題修補了處理客戶流量的 Amazon SNS 系統。我們正在努力將 Log4j2 修補程式套用至處理客戶流量之 SNS 系統分開執行的子系統。

Amazon Simple Workflow Service (SWF)

Amazon Simple Workflow Service (SWF) 已更新,以緩解 CVE-2021-44228 中確定的問題。

AWS CloudHSM

3.4.1 之前的 AWS CloudHSM JCE SDK 版本包含受此問題影響的 Apache Log4j 版本。2021 年 12 月 10 日,CloudHSM 發佈了具有 Apache Log4j 固定版本的 JCE SDK 3.4.1 版本。如果您使用早於 3.4.1 的 CloudHSM JCE 版本,則可能會受到影響,且應透過將 CloudHSM JCE SDK 升級到版本 3.4.1 或更高版本來緩解該問題。

AWS Elastic Beanstalk

AWS Elastic Beanstalk 在其適用於 Amazon Linux 1 和 Amazon Linux 2 的 Tomcat 平台中從 Amazon Linux 預設封裝儲存庫安裝 Log4j。Amazon Linux 1 和 Amazon Linux 2 儲存庫中可用的 Log4j 版本不受 CVE-2021-44228 的影響。

如果您對應用程式的 Log4j 使用進行了組態變更,則建議您採取動作更新應用程式的程式碼以緩解此問題。

根據我們的一般實務,如果這些預設封裝儲存庫版本的修補程式版本發佈,則 Elastic Beanstalk 將在下一個適用於 Amazon Linux 1 和 Amazon Linux 2 的 Tomcat 平台版本發佈中包含修補程式版本。

有關 Amazon Linux 之安全相關軟體更新的更多資訊,請造訪 Amazon Linux 安全中心

AWS Glue

AWS Glue 注意到了最近披露的開放原始碼 Apache“Log4j2”公用程式 (CVE-2021-44228) 相關安全問題。我們更新了控制平面機群,為所有受支援的 Glue 版本提供 AWS Glue API。

AWS Glue 建立了一個新的 Spark 環境,該環境在網路和管理層級與 AWS Glue 服務帳戶內的所有其他 Spark 環境隔離。您的 ETL 任務是在單一租用戶環境中執行。如果您上傳了用於 ETL 任務或開發端點的自訂 jar 檔案,其中包含特定版本的 Apache Log4j,則建議您更新 jar 以使用最新版 Apache Log4j。

AWS Glue 還主動將更新套用至所有受支援區域的新 Spark 環境。如果您有疑問或需要其他協助,請聯絡 AWS Support。

AWS Greengrass

自 2021 年 12 月 10 日起,所有使用 Log4j 之 AWS Greengrass V2 元件的更新均可用於部署。這些元件是:Stream Manager (2.0.14) 和 Secure Tunneling (1.0.6)。AWS 建議使用這些 Greengrass 元件的客戶將最新版本部署到其裝置。

Greengrass 1.10.x 和 1.11.x 版本的 Stream Manager 功能使用 Log4j。Stream Manager 功能的更新包含在 Greengrass 修補程式版本 1.10.5 和 1.11.5 中,這兩個版本均於 2021 年 12 月 12 日可用。極力建議使用 1.10.x 和 1.11.x 版本且在其裝置上啟用了 Stream Manager (或可能在未來啟用) 的客戶將其裝置更新到最新版本。

AWS Lake Formation

AWS Lake Formation 服務主機正在更新到最新版本的 Log4j,以解決 CVE-2021-44228 中引用之版本的問題。

AWS Lambda

AWS Lambda 未在其受管執行時間或基礎容器映像中包含 Log4j2。因此,這些不會受 CVE-2021-44228 中所描述的問題影響。在其函數中使用 aws-lambda-java-log4j2 程式庫的客戶需要更新至版本 1.3.0 並重新部署。

AWS SDK

適用於 Java 的 AWS SDK 使用日誌記錄外觀,並且對 Log4j 沒有執行時間相依性。我們目前認為不需要針對此問題對適用於 Java 的 AWS SDK 進行任何變更。

AWS Step Functions

AWS Step Functions 已更新,以緩解 CVE-2021-44228 中確定的問題。

AWS Web Application Firewall (WAF)

為改善與近期 Log4j 安全問題相關的偵測和緩解,CloudFront、Application Load Balancer (ALB)、API Gateway 和 AppSync 的客戶可以選擇啟用 AWS WAF 並套用兩項 AWS 受管規則 (AMR):AWSManagedRulesKnownBadInputsRuleSet 和 AWSManagedRulesAnonymousIpList。

AWSManagedRulesKnownBadInputsRuleSet 可檢測請求 uri、正文和常用標頭,而 AWSManagedRulesAnonymousIpList 可協助阻止來自允許混淆檢視器身分的服務請求。您可以建立 AWS WAF Web ACL、將一個或兩個規則集新增至您的 Web ACL,然後將 Web ACL 與您的 CloudFront 發行版、ALB、API Gateway 或 AppSync GraphQL API 建立關聯來套用這些規則。

隨著我們進一步了解,我們將繼續反覆運作 AWSManagedRulesKnownBadInputsRuleSet 規則群組。若要接收 AWSManagedRulesKnownBadInputsRuleSet 的自動更新,請選擇預設版本。對於使用 AWS WAF Classic 的客戶,您需要遷移至 AWS WAF 或建立自訂 Regex 比對條件。客戶可以使用 AWS Firewall Manager,讓您能夠從一個位置跨多個 AWS 帳戶和資源設定 AWS WAF 規則。您可組合規則、建立政策並集中在整個基礎架構中套用這些政策。

NICE

由於 Apache Log4j 程式庫中的 CVE,包含在從 2020.0 到 2021.0-r1307 版本的 EnginFrame 中,NICE 建議您升級到最新的 EnginFrame 版本,或按照支援網站上的說明更新您 EnginFrame 安裝中的 Log4j 程式庫。

敬請聯絡我們

AWS 注意到了最近披露的開放原始碼 Apache “Log4j2" 公用程式 (CVE-2021-44228) 相關安全問題。我們正在積極監控此問題,並正在努力為任何使用 Log4j2 或將其作為客戶服務的一部分提供給客戶的 AWS 服務解決該問題。

極力建議管理包含 Log4j2 之環境的客戶更新至最新版本,或其作業系統的軟體更新機制。其他服務特定資訊如下。

如果您需要其他詳細資訊或協助,請聯絡 AWS Support。

S3

S3 於 2021 年 12 月 11 日完成了對 S3 資料輸入和輸出之 Apache Log4j2 問題 (CVE-2021-44228) 的修補。我們還完成對使用 Log4j2 之所有其他 S3 系統的修補。

Amazon OpenSearch

Amazon OpenSearch Service 正在部署服務軟體更新版本 R20211203-P2,其中包含 Log4j2 的更新版本。我們將在客戶所在地區推出更新時通知客戶,並在全球發佈後更新此佈告。

AWS Lambda

AWS Lambda 未在其受管執行時間或基礎容器映像中包含 Log4j2。因此,這些不會受 CVE-2021-44228 中所描述的問題影響。在其函數中使用 aws-lambda-java-log4j2 程式庫的客戶需要更新至版本 1.3.0 並重新部署。

AWS CloudHSM

3.4.1 之前的 CloudHSM JCE SDK 版本包含受此問題影響的 Apache Log4j 版本。2021 年 12 月 10 日,CloudHSM 發佈了具有 Apache Log4j 固定版本的 JCE SDK 3.4.1 版本。如果您使用早於 3.4.1 的 CloudHSM JCE 版本,則可能會受到影響,且應透過將 CloudHSM JCE SDK 升級到版本 3.4.1 或更高版本來緩解該問題。

Amazon EC2

Amazon Linux 1 和 Amazon Linux 2 儲存庫中可用的 Log4j 版本不受 CVE-2021-44228 的影響。有關 Amazon Linux 之安全相關軟體更新的更多資訊,請造訪 Amazon Linux 安全中心。 

API Gateway

我們正在更新 API Gateway 以使用可緩解該問題的 Log4j2 版本。在這些更新期間,您可能會觀察到某些 API 的周期性延遲增加。

AWS Greengrass

自 2021 年 12 月 10 日起,所有使用 Log4j 之 Greengrass V2 元件的更新均可用於部署。這些元件是:Stream Manager (2.0.14) 和 Secure Tunneling (1.0.6)。AWS 建議使用這些 Greengrass 元件的客戶將最新版本部署到其裝置。

Greengrass 1.10.x 和 1.11.x 版本的 Stream Manager 功能使用 Log4j。Stream Manager 功能的更新包含在 Greengrass 修補程式版本 1.10.5 和 1.11.5 中,這兩個版本均於 2021 年 12 月 12 日可用。極力建議使用 1.10.x 和 1.11.x 版本且在其裝置上啟用了 Stream Manager (或可能在未來啟用) 的客戶將其裝置更新到最新版本。

CloudFront

CloudFront 服務已更新,以緩解 CVE-2021-44228 中確定的問題。在 POP 中執行的 CloudFront 請求處理服務並非使用 Java 編寫,因此,不受此問題的影響。

Elastic Beanstalk

AWS Elastic Beanstalk 在其適用於 Amazon Linux 1 和 Amazon Linux 2 的 Tomcat 平台中從 Amazon Linux 預設封裝儲存庫安裝 Log4j。Amazon Linux 1 和 Amazon Linux 2 儲存庫中可用的 Log4j 版本不受 CVE-2021-44228 的影響。

如果您對應用程式的 Log4j 使用進行了組態變更,則建議您採取動作更新應用程式的程式碼以緩解此問題。

根據我們的一般實務,如果這些預設封裝儲存庫版本的修補程式版本發佈,則 Elastic Beanstalk 將在下一個適用於 Amazon Linux 1 和 Amazon Linux 2 的 Tomcat 平台版本發佈中包含修補程式版本。

 有關 Amazon Linux 之安全相關軟體更新的更多資訊,請造訪 Amazon Linux 安全中心。 

EMR

在處理來自不受信任來源的輸入時,CVE-2021-44228 會影響 2.0 和 2.14.1 之間的 Apache Log4j 版本。隨 EMR 5 和 EMR 6 版本推出的 EMR 叢集包括開放原始碼架構,例如 Apache Hive、Flink、HUDI、Presto 和 Trino,它們使用這些版本的 Apache Log4j。當您使用 EMR 的預設組態啟動叢集時,它不會處理來自不受信任來源的輸入。

我們正在積極建置一個更新,以便當安裝在您的 EMR 叢集上的開放原始碼架構處理來自不受信任來源的資訊時,可以緩解 CVE-2021-44228 中討論的問題。

Lake Formation

Lake Formation 服務主機正在主動更新到最新版本的 Log4j,以解決 CVE-2021-44228 中引用之版本的安全問題。

AWS SDK

適用於 Java 的 AWS SDK 使用日誌記錄外觀,並且對 log4j 沒有執行時間相依性。我們目前認為不需要針對此問題對適用於 Java 的 AWS SDK 進行任何變更。

AMS

我們正在積極監控此問題,並正在努力為使用 Log4j2 的任何 AMS 服務解決該問題。極力建議管理包含 Log4j2 之環境的客戶更新至最新版本,或透過使用其作業系統的軟體更新機制。

Amazon Neptune

Amazon Neptune 包含 Apache Log4j2 程式庫作為外圍元件,但相信該問題不會影響 Neptune 使用者。出於謹慎考慮,Neptune 叢集將自動更新以使用解決該問題的 Log4j2 版本。客戶可能會在更新期間觀察到間歇性事件。

NICE

由於 Apache Log4j 程式庫中的 CVE,包含在從 2020.0 到 2021.0-r1307 版本的 EnginFrame 中,NICE 建議您升級到最新的 EnginFrame 版本,或按照支援網站上的說明更新您 EnginFrame 安裝中的 Log4j 程式庫。

敬請聯絡我們

Kafka

Managed Streaming for Apache Kafka 注意到了最近披露的 Apache Log4j2 程式庫相關問題 (CVE-2021-44228),且正在根據需要套用更新。請注意,MSK 中提供的 Apache Kafka 和 Apache Zookeeper 建置目前使用 log4j 1.2.17,不受此問題影響。一些 MSK 特定的服務元件使用 log4j > 2.0.0 程式庫,並且正在根據需要進行修補。

AWS Glue

AWS Glue 注意到了最近披露的開放原始碼 Apache“Log4j2”公用程式 (CVE-2021-44228) 相關安全問題。我們更新了控制平面機群,為所有受支援的 Glue 版本提供 AWS Glue API。

​AWS Glue 建立了一個新的 Spark 環境,該環境在網路和管理層級與 AWS Glue 服務帳戶內的所有其他 Spark 環境隔離。您的 ETL 任務是在單一租用戶環境中執行。如果您的 ETL 任務載入特定版本的 Apache Log4j,則建議您更新指令碼以使用最新版本的 Apache Log4j。如果您使用 AWS Glue 開發端點來編寫指令碼,則建議您也更新在那裡使用的 Log4j 版本。

​AWS Glue 還主動將更新套用至所有受支援區域的新 Spark 環境。如果您有疑問或需要其他協助,請透過 AWS Support 與我們聯絡。

RDS

Amazon RDS 和 Amazon Aurora 正在透過套用更新積極解決 Log4j2 的所有服務使用問題。RDS 建置的關聯式資料庫引擎不包括 Apache Log4j 程式庫。對於涉及上游供應商的情況,我們正在應用他們推薦的緩解措施。客戶可能會在內部元件更新期間觀察到間歇性事件。

Amazon Connect

Amazon Connect 服務已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon DynamoDB 

Amazon DynamoDB 和 Amazon DynamoDB Accelerator (DAX) 已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon Keyspaces (適用於 Apache Cassandra)

Amazon Keyspaces (適用於 Apache Cassandra) 已更新,以緩解 CVE-2021-44228 中確定的問題。

Amazon MQ

對於最近披露的 Apache Log4j2 程式庫相關問題 (CVE-2021-44228),Amazon MQ 有兩個需要考量的方面:Amazon MQ 服務程式碼 (特定於 AWS) 和開放原始碼 (Apache ActiveMQ 和 RabbitMQ 訊息代理程式)。

截至 2021 年 12 月 13 日,我們已完成對 Amazon MQ 服務程式碼的所有必要更新,以解決該問題。

開放原始碼訊息代理程式無需更新。Amazon MQ 中提供的所有 Apache ActiveMQ 版本都使用 Log4j 版本 1.2.x,它們不受此問題的影響。RabbitMQ 未使用 Log4j,因此不受此問題的影響。

Kinesis Data Analytics

Kinesis Data Analytics 支援的 Apache Flink 版本包括 2.0 到 2.14.1 之間的 Apache Log4j 版本。Kinesis Data Analytics 應用程式在單一租用戶、隔離的環境中執行,不能相互互動。

我們正在更新適用於所有 AWS 區域之 Kinesis Data Analytics 客戶應用程式的 Log4j 版本。2021 年 12 月 12 日太平洋標準時間下午 6:30 之後啟動或更新的應用程式將自動收到更新的修補程式。其應用程式在此之前啟動或更新的客戶可以透過叫用 Kinesis Data Analytics UpdateApplication API 來確保其應用程式在更新版本的 Log4j 上執行。如需了解 UpdateApplication API,請參閱更多資訊

AWS 注意到了最近披露的開放原始碼 Apache “Log4j2" 公用程式 (CVE-2021-44228) 相關安全問題。我們正在積極監控此問題,並正在努力為任何使用 Log4j2 或將其作為客戶服務的一部分提供給客戶的 AWS 服務解決該問題。

極力建議管理包含 Log4j2 之環境的客戶更新至最新版本,或其作業系統的軟體更新機制。

據報導,在 8u121 或 8u191 (包括 JDK 11 及更高版本) 之後的 JDK 上使用 Log4j2 可以緩解該問題,但這只是部分緩解。唯一的全面解決方案是將 Log4j2 升級至 2.15,並且無論使用的 JDK 發行版或版本如何,都應將低於 2.15 的 Log4j2 版本視為受到影響。

其他服務特定資訊如下。

如果您需要其他詳細資訊或協助,請聯絡 AWS Support。

API Gateway

我們正在更新 API Gateway 以使用可緩解該問題的 Log4j2 版本。在這些更新期間,您可能會觀察到某些 API 的周期性延遲增加。

AWS Greengrass

自 2021 年 12 月 10 日起,所有使用 Apache Log4j2 之 Greengrass V2 元件的更新均可用於部署。這些元件是:Stream Manager (2.0.14) 和 Secure Tunneling (1.0.6)。AWS 建議使用這些 Greengrass 元件的客戶將最新版本部署到其裝置。

Greengrass 版本 1.10 和 1.11 的更新預計將於 2021 年 12 月 17 日發佈。建議在這些裝置上使用 Stream Manager 的客戶在 Greengrass 二進位檔案可用於這些版本後立即更新其裝置。與此同時,客戶應該驗證他們在 Greengrass 1.10 或 1.11 上使用 Stream Manager 的自訂 lambda 程式碼是否未使用客戶控制之外的任意串流名稱和檔案名稱 (對於 S3 Exporter),例如包含文字 “${” 的串流名稱或檔案名稱。

Amazon MQ

對於最近披露的 Apache Log4j2 程式庫相關問題 (CVE-2021-44228),Amazon MQ 有兩個需要考量的方面:Amazon MQ 服務程式碼 (特定於 AWS) 和開放原始碼 (Apache ActiveMQ 和 RabbitMQ 訊息代理程式)。

我們正在對 Amazon MQ 服務程式碼套用所需的更新以解決該問題。

開放原始碼訊息代理程式無需更新。Amazon MQ 中提供的所有 Apache ActiveMQ 版本都使用 Log4j 版本 1.x,它們不受此問題的影響。RabbitMQ 不使用 Log4j2,因此,不受此問題影響。

CloudFront

CloudFront 服務已更新,以緩解 CVE-2021-44228 中確定的問題。在 POP 中執行的 CloudFront 請求處理服務並非使用 Java 編寫,因此,不受此問題的影響。

AWS Elastic Beanstalk

AWS Elastic Beanstalk 在其適用於 Amazon Linux 1 和 Amazon Linux 2 的 Tomcat 平台中從 Amazon Linux 預設封裝儲存庫安裝 Log4j。 Amazon Linux 1 和 Amazon Linux 2 儲存庫中可用的 Log4j 版本不受 CVE-2021-44228 的影響。

如果您對應用程式的 Log4j 使用進行了組態變更,則建議您採取動作更新應用程式的程式碼以緩解此問題。

根據我們的一般實務,如果這些預設封裝儲存庫版本的修補程式版本發佈,則 Elastic Beanstalk 將在下一個適用於 Amazon Linux 1 和 Amazon Linux 2 的 Tomcat 平台版本發佈中包含修補程式版本。

有關 Amazon Linux 之安全相關軟體更新的更多資訊,請造訪 Amazon Linux 安全中心

EMR

在處理來自不受信任來源的輸入時,CVE-2021-44228 會影響 2.0 和 2.14.1 之間的 Apache Log4j 版本。隨 EMR 5 和 EMR 6 版本推出的 EMR 叢集包括開放原始碼架構,例如 Apache Hive、Flink、HUDI、Presto 和 Trino,它們使用這些版本的 Apache Log4j。當您使用 EMR 的預設組態啟動叢集時,它不會處理來自不受信任來源的輸入。

我們正在積極建置一個更新,以便當安裝在您的 EMR 叢集上的開放原始碼架構處理來自不受信任來源的資訊時,可以緩解 CVE-2021-44228 中討論的問題。

Lake Formation

Lake Formation 服務主機正在主動更新到最新版本的 Log4j,以解決 CVE-2021-44228 中引用之版本的問題。

S3

S3 的資料輸入和輸出已針對 Log4j2 問題進行了修補。我們正在努力將 Log4j2 修補程式套用至與 S3 資料輸入和輸出分開執行的 S3 系統。

AWS SDK

適用於 Java 的 AWS SDK 使用日誌記錄外觀,並且對 Log4j 沒有執行時間相依性。我們目前認為不需要針對此問題對適用於 Java 的 AWS SDK 進行任何變更。

AMS

我們正在積極監控此問題,並正在努力為使用 Log4j2 的任何 AMS 服務解決該問題。極力建議管理包含 Log4j2 之環境的客戶更新至最新版本,或透過使用其作業系統的軟體更新機制。

AMS 建議為所有可透過網際網路存取的端點部署 Web 應用程式防火牆 (WAF)。可以將 AWS WAF 服務設定為透過部署 AWSManagedRulesAnonymousIpList 規則集 (其中包含阻止已知用戶端資訊匿名化來源的規則,如 TOR 節點) 和 AWSManagedRulesKnownBadInputsRuleSet 規則集 (其檢查 URI、要求主體和常用標頭以協助阻止與 Log4j 和其他問題相關的請求)。

AMS 將繼續監控此問題,並在可用時提供更多詳細資訊和推薦。

Amazon Neptune

Amazon Neptune 包含 Apache Log4j2 程式庫作為外圍元件,但相信該問題不會影響 Neptune 使用者。出於謹慎考慮,Neptune 叢集將自動更新以使用解決該問題的 Log4j2 版本。客戶可能會在更新期間觀察到間歇性事件。

NICE

由於 Apache Log4j 程式庫中的 CVE,包含在從 2020.0 到 2021.0-r1307 版本的 EnginFrame 中,NICE 建議您升級到最新的 EnginFrame 版本,或按照支援網站上的說明更新您 EnginFrame 安裝中的 Log4j 程式庫。

敬請聯絡我們

Kafka

Managed Streaming for Apache Kafka 注意到了最近披露的 Apache Log4j2 程式庫相關問題 (CVE-2021-44228),且正在根據需要套用更新。請注意,MSK 中提供的 Apache Kafka 和 Apache Zookeeper 建置目前使用 Log4j 1.2.17,不受此問題影響。一些 MSK 特定的服務元件使用 Log4j > 2.0.0 程式庫,並且正在根據需要進行修補。

AWS Glue

AWS Glue 注意到了最近披露的開放原始碼 Apache“Log4j2”公用程式 (CVE-2021-44228) 相關安全問題。我們更新了控制平面機群,為所有受支援的 Glue 版本提供 AWS Glue API。

AWS Glue 建立了一個新的 Spark 環境,該環境在網路和管理層級與 AWS Glue 服務帳戶內的所有其他 Spark 環境隔離。您的 ETL 任務是在單一租用戶環境中執行。如果您的 ETL 任務載入特定版本的 Apache Log4j,則建議您更新指令碼以使用最新版本的 Apache Log4j。如果您使用 AWS Glue 開發端點來編寫指令碼,則建議您也更新在那裡使用的 Log4j 版本。

AWS Glue 還主動將更新套用至所有受支援區域的新 Spark 環境。如果您有疑問或需要其他協助,請透過 AWS Support 與我們聯絡。

RDS

Amazon RDS 和 Amazon Aurora 正在透過套用更新積極解決 Log4j2 的所有服務使用問題。RDS 建置的關聯式資料庫引擎不包括 Apache Log4j 程式庫。對於涉及上游供應商的情況,我們正在應用他們推薦的緩解措施。客戶可能會在內部元件更新期間觀察到間歇性事件。

OpenSearch

Amazon OpenSearch Service 正在部署服務軟體更新版本 R20211203-P2,其中包含 Log4j2 的更新版本。我們將在客戶所在地區推出更新時通知客戶,並在全球發佈後更新此佈告。