تاريخ النشر الأولي: 10/ 12/ 2021 في تمام الساعة 7:20 مساءً بتوقيت منطقة المحيط الهادئ الصيفي
نُقلت جميع تحديثات هذه المشكلة إلى هنا.
إن AWS على علم بمشكلة الأمان التي تم الكشف عنها مؤخرًا والمتعلقة بالأداة "Apache "Log4j2 مفتوحة المصدر (CVE-2021-44228). إننا نتابع هذه المشكلة بكل عناية، ونعمل على معالجتها بجميع خدمات AWS التي إما تستخدم Log4j2 أو توفرها للعملاء كجزء من خدمتهم.
كما نوصي بشدة العملاء الذين يديرون بيئات تحتوي على Log4j2 بالترقية إلى أحدث إصدار، والمتوفر على: https://logging.apache.org/log4j/2.x/download.html أو على آلية تحديث برامج نظام التشغيل لديهم. فيما يلي معلومات إضافية حول الخدمة.
إذا كنت بحاجة إلى تفاصيل أخرى أو مساعدة، يُرجى التواصل مع AWS Support.
Amazon EC2
لا تؤثر CVE-2021-44228 على إصدارات Log4j المتاحة في مستودعات Amazon Linux 1 ومستودعات Amazon Linux 2. تتوفر المزيد من المعلومات حول تحديثات البرامج المتعلقة بالأمان لـ Amazon Linux على: https://alas.aws.amazon.com.
AWS WAF / Shield
لتحسين اكتشاف المخاطر الناشئة عن مشكلة أمان Log4j الراهنة وتخفيفها، قمنا بتحديث AWSManagedRulesKnownBadInputsRuleSet AMR في خدمة AWS WAF. يمكن لعملاء CloudFront، وApplication Load Balancer (ALB)، وAPI Gateway، وAppSync الاستفادة فورًا من خيار التخفيف هذا، حيث يفحص مُعرّف الموارد المنتظم (uri)، ونص الطلب، والعناوين شائعة الاستخدام لإضافة طبقة دفاع إضافية، عن طريق إنشاء قائمة تحكم في الوصول (ACL) إلى الويب تختص بـ AWS WAF، وإضافة AWSManagedRulesKnownBadInputsRuleSet إلى قائمة تحكم في الوصول (ACL) إلى الويب الخاصة بك، ثم ربط قائمة تحكم في الوصول (ACL) إلى الويب بتوزيع CloudFront، أو ALB، أوAPI Gateway، أو واجهات برمجة تطبيقات AppSync GraphQL.
تتوفر المزيد من المعلومات حول بدء استخدام AWS WAF هنا: https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html
تتوفر وثائق إضافية تختص بتمكين قواعد AMR هنا: https://docs.aws.amazon.com/waf/latest/developerguide/waf-using-managed-rule-groups.html
يُرجى العلم بأن قواعد AMR غير متوفرة في WAF Classic، ولذا يُرجى الترقية إلى AWS WAF (wafv2) للاستفادة من خيار التخفيف هذا.
Amazon OpenSearch
نقوم بتحديث جميع نطاقات خدمة Amazon OpenSearch Service لاستخدام إصدار "Log4j2" الذي يعالج المشكلة. قد تلاحظ نشاطًا متقطعًا على نطاقاتك أثناء عملية التحديث.
AWS Lambda
AWS Lambda لا تُدرج Log4j2 في مدد العرض المُدارة أو صور الحاوية الأساسية. ولذلك لا تتأثر بالمشكلة الموضحة في CVE-2021-44228. يحتاج العملاء الذين يستخدمون مكتبة aws-lambda-java-log4j2 ( https://repo1.maven.org/maven2/com/amazonaws/aws-lambda-java-log4j2/ ) في مهامهم إلى التحديث إلى الإصدار 1.3.0 وإعادة نشره.
AWS CloudHSM
تحتوي إصدارات CloudHSM JCE SDK الأقدم من 3.4.1 على إصدار من Apache Log4j متأثر بهذه المشكلة. في 10 ديسمبر 2021، قامت CloudHSM بإصدار JCE SDK v3.4.1 مع إصدار ثابت من Apache Log4j. إذا كنت تستخدم إصدارات CloudHSM JCE الأقدم من 3.4.1، فقد تتأثر وينبغي لك إصلاح ذلك من خلال ترقية CloudHSM JCE SDK إلى الإصدار 3.4.1 أو أحدث [1].
[1] https://docs.aws.amazon.com/cloudhsm/latest/userguide/java-library-install.html