إن AWS على دراية بالمشكلتين (CVE-2021-44228 وCVE-2021-45046) اللتين تم اكتشافهما مؤخرًا وتتعلقان بالأداة المساعدة ذات المصدر المفتوح "Apache "Log4j2.
تتضح أهمية توفير عدة طبقات من التقنيات الدفاعية المهمة للغاية في الحفاظ على أمن أعباء العمل والبيانات الخاصة بالعملاء عند الاستجابة لمشكلات أمنية مثل هذه المشكلة.
لقد تعاملنا مع هذه المشكلة بجدية شديدة، وتولى فريقنا الذي يضم مهندسين من الطراز الأول نشر التصحيح السريع بالكامل للغة Java الذي طورته Amazon والمتاح هنا على كل خدمات AWS. ويعمل التصحيح السريع على تحديث Java VM من أجل إبطال تحميل فئة Java Naming and Directory Interface (JNDI) من خلال استبدالها برسالة إشعار غير ضارة من شأنها الحد من المشكلتين CVE-2021-44228 وCVE-2021-45046. سننتهي قريبًا من نشر مكتبة Log4j المحدّثة على كل خدماتنا. يتوفر المزيد من المعلومات حول التصحيح السريع للغة Java في https://aws.amazon.com/blogs/security/open-source-hotpatch-for-apache-log4j-vulnerability/.
بالرغم من نشر هذا التصحيح السريع، فإنه لا يزال يتعين على العملاء نشر مكتبة Log4j محدّثة بأسرع ما يمكن بأمان، مثلما نفعل في AWS.
لمزيد من التفاصيل حول طريقة اكتشاف Log4j CVE وإصلاحها باستخدام خدمات AWS، يرجى قراءة أحدث منشور في المدونة هنا.
لا يلزم إجراء تحديثات أخرى خاصة بالخدمة بعد هذه النشرة الأخيرة.
إذا كنت بحاجة إلى تفاصيل أخرى أو مساعدة، يرجى التواصل مع AWS Support.
Amazon Connect
تم تحديث Amazon Connect للحد من المشكلات المحددة في CVE-2021-44228.
نوصي العملاء بتقييم مكونات بيئاتهم الموجودة خارج حدود خدمة Amazon Connect (مثل وظائف Lambda التي يتم استدعاؤها من تدفقات الاتصال) التي قد تتطلب إجراءات تخفيفية منفصلة/إضافية من جانب العملاء.
Amazon Chime
تم تحديث خدمات مجموعة تطوير البرمجيات (SDK) في Amazon Chime للحد من المشكلات المحددة في CVE-2021-44228 وCVE-2021-45046.
تم تحديث خدمات Amazon Chime للحد من المشكلات المحددة في CVE-2021-44228 وCVE-2021-45046.
Amazon EMR
تؤثر CVE-2021-44228 في إصدارات Apache Log4j من الإصدار 2.0 حتى الإصدار 2.14.1 عند معالجة المدخلات المتوفرة من مصادر غير موثوق بها. وتشتمل مجموعات EMR التي تم إطلاقها بالإصدارين EMR 5 وEMR 6، على إطارات عامة ذات مصدر مفتوح، مثل Apache Hive وApache Flink وHUDI وPresto وTrino، تستخدم هذين الإصدارين من Apache Log4j. عند إطلاق مجموعة بتكوين EMR الافتراضي، فإنها لا تعالج المدخلات الواردة عن مصادر غير موثوق بها. يستخدم الكثير من العملاء إطارات عامة ذات مصدر مفتوح مثبّتة على مجموعات EMR في معالجة المدخلات المتوفرة من مصادر غير موثوق بها وتسجيلها. وبالتالي، توصيك AWS باستخدام الحل الموضح هنا.
Amazon Fraud Detector
تم تحديث خدمات Amazon Fraud Detector للحد من المشكلات المحددة في CVE-2021-44228.
Amazon Kendra
تم تحديث Amazon Kendra للحد من CVE-2021-44228.
Amazon Lex
تم تحديث Amazon Lex للحد من المشكلات المحددة في CVE-2021-44228.
Amazon Lookout for Equipment
تم تحديث Amazon Lookout for Equipment للحد من المشكلات المحددة في CVE-2021-44228.
Amazon Macie
تم تحديث خدمة Amazon Macie للحد من المشكلات المحددة في CVE-2021-44228.
Amazon Macie Classic
تم تحديث خدمة Amazon Macie Classic للحد من المشكلات المحددة في CVE-2021-44228.
Amazon Monitron
تم تحديث Amazon Monitron للحد من المشكلات المحددة في CVE-2021-44228.
Amazon RDS
تم تحديث Amazon RDS وAmazon Aurora للحد من المشكلات المحددة في CVE-2021-44228.
Amazon Rekognition
تم تحديث خدمات Amazon Rekognition للحد من المشكلات المحددة في CVE-2021-44228.
Amazon VPC
تم تحديث Amazon VPC، بما تشمل خدمات Internet Gateway وVirtual Gateway، للحد من مشكلة Log4j المُشار إليها في CVE-2021-44228.
AWS AppSync
تم تحديث AWS AppSync للحد من المشكلات المحددة في CVE-2021-44228 وCVE-2021-45046.
AWS Certificate Manager
تم تحديث خدمات AWS Certificate Manager للحد من المشكلات المحددة في CVE-2021-44228.
تم تحديث خدمات ACM Private CA للحد من المشكلات المحددة في CVE-2021-44228.
AWS Service Catalog
تم تحديث AWS Service Catalog للحد من المشكلات المحددة في CVE-2021-44228.
AWS Systems Manager
تم تحديث خدمة AWS Systems Manager للحد من المشكلات المحددة في CVE-2021-44228. ولم يتأثر برنامج Systems Manager Agent بهذه المشكلة.
إن AWS على دراية بالمشكلتين (CVE-2021-44228 وCVE-2021-45046) اللتين تم اكتشافهما مؤخرًا وتتعلقان بالأداة المساعدة ذات المصدر المفتوح "Apache "Log4j2.
تتضح أهمية توفير عدة طبقات من التقنيات الدفاعية المهمة للغاية في الحفاظ على أمن أعباء العمل والبيانات الخاصة بالعملاء عند الاستجابة لمشكلات أمنية مثل هذه المشكلة. ولقد تعاملنا مع هذه المشكلة بجدية شديدة، ويعمل فريقنا الذي يضم مهندسين من الطراز الأول على مدار الساعة لتحسين خدمات الاستجابة وإصلاح المشكلات. نتوقع سريعًا استعادة حالة دفاعنا بالكامل وبالتفصيل.
تُعد تقنية التصحيح السريع للتطبيقات التي قد تتضمن Log4j، إحدى التقنيات التي قمنا بتطويرها ونشرها على نطاق واسع في AWS. ويعمل هذا التصحيح السريع على تحديث Java VM من أجل إبطال تحميل فئة Java Naming and Directory Interface (JNDI)، ما يتيح استبدالها برسالة إشعار غير ضارة، وهذا يمثل إجراءًا تخفيفيًا فعالاً للحد من CVE-2021-44228 وCVE-2021-45046.
أتاحنا هذه التقنية أيضًا باعتبارها أحد الحلول ذات المصدر المفتوح، وتتوفر هنا.
بالرغم من نشر هذا التصحيح السريع، فإنه لا يزال يتعين على العملاء نشر مكتبة Log4j محدّثة بأسرع ما يمكن بأمان.
لمزيد من التفاصيل حول طريقة اكتشاف Log4j CVE وإصلاحها باستخدام خدمات AWS، يرجى قراءة أحدث منشور في المدونة هنا.
تتوفر فيما يلي معلومات إضافية خاصة بالخدمة. إذا كنت بحاجة إلى تفاصيل أخرى أو مساعدة، يرجى التواصل مع AWS Support.
Amazon EKS وAmazon ECS وAWS Fargate
للمساعدة في الحد من تأثير المشكلتين الأمنيتين (CVE-2021-44228 وCVE-2021-45046) في الأداة المساعدة ذات المصدر المفتوح Apache "Log4j2" فيما يتعلق بحاويات العملاء، تنشر Amazon EKS وAmazon ECS وAWS Fargate تحديثًا مستندًا إلى نظام Linux (التصحيح السريع). وسيتطلب هذا التصحيح السريع من العميل الاشتراك للاستخدام، وسيبطل عمليات بحث JNDI من مكتبة Log4J2 في حاويات العملاء. تتوفر هذه التحديثات كحزمة Amazon Linux لعملاء Amazon ECS، وكميزة DaemonSet لمستخدمي Kubernetes على AWS، وستتوفر في إصدارات منصة AWS Fargate المدعومة.
من المستحسن للعملاء من مستخدمي التطبيقات المستندة إلى لغة Java في حاويات Windows اتباع الإرشادات المتوفرة من Microsoft هنا.
Amazon ECR Public وAmazon ECR
لا تؤثر المشكلة الموضحة في CVE-2021-4422 في الصور المملوكة لشركة Amazon والمنشورة بموجب حساب متحقق منه (Verified Account) على Amazon ECR Public. وبالنسبة للصور المملوكة للعملاء على Amazon ECR، توفر AWS Enhanced Scanning مع Amazon Inspector، الذي تم تصميمه خصيصًا لمسح صور الحاويات ضوئيًا باستمرار للتأكد من عدم وجود مشكلات أمنية معروفة، مثل صور الحاويات التي تحتوي على CVE-2021-44228. ويتم إعداد تقارير بالنتائج من خلال وحدتي التحكم في Inspector وECR. تتضمن أيضًا خدمة Inspector إصدارًا تجريبيًا مجانيًا لمدة 15 يومًا مع إمكانية إجراء مسح ضوئي مجاني لصور الحاويات في الحسابات الجديدة على Inspector. بالنسبة للعملاء من مستخدمي الصور في ECR Public المتوفرة من ناشرين تابعين لجهة خارجية، يمكن للعملاء استخدام ميزة Pull Through Cache في ECR، التي تم إطلاقها مؤخرًا من أجل نسخ هذه الصور من ECR Public إلى سجل ECR لديهم، إلى جانب استخدام ميزة المسح الضوئي في Inspector للكشف عن المشكلات الأمنية.
Amazon Cognito
تم تحديث خدمات Amazon Cognito للحد من المشكلات المحددة في CVE-2021-44228.
Amazon Pinpoint
تم تحديث خدمات Amazon Pinpoint للحد من المشكلات المحددة في CVE-2021-44228.
Amazon EventBridge
تم تحديث Amazon EventBridge للحد من المشكلات المحددة في CVE-2021-44228.
Elastic Load Balancing
تم تحديث خدمات Elastic Load Balancing للحد من المشكلات المحددة في CVE-2021-44228. إن Elastic Load Balancer، وكذلك Classic وApplication وNetwork وGateway ليس مكتوبة بلغة Java، وبالتالي لم تتأثر بهذه المشكلة.
AWS CodePipeline
تم تحديث AWS CodePipeline للحد من المشكلات المحددة في CVE-2021-44228 وCVE-2021-45046.
AWS CodeBuild
تم تحديث AWS CodeBuild للحد من المشكلات المحددة في CVE-2021-44228 وCVE-2021-45046.
Amazon Route53
تم تحديث Route 53 للحد من المشكلات المحددة في CVE-2021-44228.
Amazon Linux
يستخدم نظاما التشغيل Amazon Linux 1 (AL1) وAmazon Linux 2 (AL2) افتراضيًا إصدار log4j الذي لا تؤثر فيه CVE-2021-44228 أو CVE-2021-45046. ويعالج الإصدار الجديد من Amazon Kinesis Agent، الذي يُعد جزءًا من نظام التشغيل AL2، المشكلتين CVE-2021-44228 وCVE-2021-45046. بالإضافة إلى ذلك، أصدر نظام Amazon Linux حزمة جديدة تتضمن تصحيحًا سريعًا للأداة المساعدة Apache log4j بغرض مساعدة العملاء في إدخال تعليماتهم البرمجية الخاصة بـ log4j. يمكن العثور على مزيد من التفاصيل هنا.
Amazon SageMaker
انتهت Amazon SageMaker من تصحيح مشكلة (CVE-2021-44228) في الأداة المساعدة Apache Log4j2 بتاريخ 15 ديسمبر/كانون الأول 2021.
ولا نزال نوصي عملاءنا باتخاذ إجراء بشأن تحديث كل تطبيقاتهم وخدماتهم من خلال تصحيح المشكلات المعروفة مثل هذه المشكلة. وتلقى العملاء، الذين نوصيهم باتخاذ إجراء بشأن هذه المشكلة، إرشادات تفصيلية عبر PHD. حتى في حالة أنك لا تتأثر بالمشكلة في الأداة Log4j، نوصيك بإعادة تشغيل مهمتك أو تحديث تطبيقك لاستخدام أحدث إصدار من برنامجنا.
Amazon Athena
تم تحديث Amazon Athena للحد من المشكلات المحددة في CVE-2021-44228. كل إصدارات برنامج تشغيل Amazon Athena JDBC التي تم بيعها إلى العملاء لم تتأثر بهذه المشكلة.
AWS Certificate Manager
تم تحديث خدمات AWS Certificate Manager للحد من المشكلات المحددة في CVE-2021-44228.
تم تحديث خدمات ACM Private CA للحد من المشكلات المحددة في CVE-2021-44228.
Amazon AppFlow
تم تحديث Amazon AppFlow للحد من المشكلات المحددة في CVE-2021-44228.
Amazon Polly
تم تحديث Amazon Polly للحد من المشكلات المحددة في CVE-2021-44228.
Amazon QuickSight
تم تحديث Amazon QuickSight للحد من المشكلات المحددة في CVE-2021-44228.
AWS Textract
تم تحديث خدمات AWS Textract للحد من المشكلات المحددة في CVE-2021-44228.
Amazon Corretto
لا يتأثر أحدث إصدار من Amazon Corretto الذي تم طرحه بتاريخ 19 أكتوبر/تشرين الأول بمشكلة CVE-2021-44228 لأن توزيع Corretto لا يتضمن الأداة المساعدة Log4j. ونوصي العملاء بالتحديث إلى أحدث إصدار من الأداة المساعدة Log4j المتاح في كل التطبيقات التي تستخدم هذه الأداة، مثل التبعيات المباشرة، والتبعيات غير المباشرة، والحاويات المظللة.
إن AWS على دراية بالمشكلة الأمنية (CVE-2021-44228) التي تم اكتشافها مؤخرًا وتتعلق بالأداة المساعدة ذات المصدر المفتوح "Apache "Log4j2.
تتضح أهمية توفير عدة طبقات من التقنيات الدفاعية المهمة للغاية في الحفاظ على أمن أعباء العمل والبيانات الخاصة بالعملاء عند الاستجابة لمشكلات أمنية مثل هذه المشكلة. ولقد تعاملنا مع هذه المشكلة بجدية شديدة، ويعمل فريقنا الذي يضم مهندسين من الطراز الأول على مدار الساعة لتحسين خدمات الاستجابة وإصلاح المشكلات. نتوقع سريعًا استعادة حالة دفاعنا بالكامل وبالتفصيل.
تُعد تقنية التصحيح السريع في التطبيقات التي قد تتضمن Log4j إحدى التقنيات التي قمنا بتطويرها ونشرها. أتاحنا هذه التقنية أيضًا باعتبارها أحد الحلول ذات المصدر المفتوح، وتتوفر هنا.
بالرغم من نشر هذا التصحيح السريع، فإنه لا يزال يتعين على العملاء التخطيط لنشر مكتبة Log4j محدّثة بأسرع ما يمكن بأمان.
تتوفر فيما يلي معلومات إضافية خاصة بالخدمة. إذا كنت بحاجة إلى تفاصيل أخرى أو مساعدة، يرجى التواصل مع AWS Support.
Amazon Kinesis
يتوفر هنا إصدار جديد من Kinesis Agent يعالج المشكلة (CVE-2021-44228) التي تم اكتشافها مؤخرًا في مكتبة Apache Log4j2.
Amazon Inspector
يتم تصحيح خدمة Amazon Inspector تجنبًا لحدوث مشكلة في Log4j.
تساعد خدمة Inspector في اكتشاف مشكلات CVE-2021-44228 (Log4Shell) ضمن صور ECR وأعباء عمل EC2 لدى العميل. وتتوفر حاليًا عمليات اكتشاف المشكلات في الحِزم المتأثرة على مستوى نظام التشغيل في Linux. وتتضمن على سبيل المثال لا الحصر apache-log4j2 وliblog4j2-java في Debian، وlog4j وlog4jmanual و log4j12 في SUSE، وElasticsearch في Alpine، وCentos، وDebian، وRed Hat، وSUSE، وUbuntu. وتجري إضافة عمليات اكتشاف أخرى نظرًا إلى أن الفِرق الأمنية المعنية بالتوزيع قد اكتشفت مزيدًا من التأثيرات. تحلل خدمة Inspector الأرشيفات المكتوبة بلغة Java المخزّنة ضمن صور ECR، وتعرض نتائج متعلقة بالتطبيقات أو الحِزم المتأثرة. تُحدد هذه النتائج في وحدة تحكم Inspector ضمن "CVE-2021-44228" أو "IN1-JAVA-ORGAPACHELOGGINGLOG4J-2314720 - org.apache.logging.log4j:log4j-core".
Amazon Inspector Classic
يتم تصحيح خدمة Amazon Inspector تجنبًا لمشكلة Log4j.
تساعد خدمة Inspector Classic في اكتشاف مشكلات CVE-2021-44228 (Log4Shell) ضمن أعباء عمل EC2 لدى العميل. وتتوفر حاليًا عمليات اكتشاف المشكلات للتأكد من عدم وجود مشكلة CVE-2021-44228 (Log4Shell) في الحِزم المتأثرة على مستوى نظام التشغيل في Linux. وتتضمن على سبيل المثال لا الحصر apache-log4j2 وliblog4j2-java في Debian، وlog4j وlog4jmanual و log4j12 في SUSE، وElasticsearch في Alpine، وCentos، وDebian، وRed Hat، وSUSE، وUbuntu.
Amazon WorkSpaces/AppStream 2.0
لا تؤثر مشكلة CVE-2021-44228 في تطبيق Amazon WorkSpaces وAppStream 2.0 عند استخدام التكوينات الافتراضية. ولا تحتوي صور Amazon Linux 2 الافتراضية في WorkSpaces وAppStream على Log4j، ولا تؤثر مشكلة CVE-2021-44228 في إصدارات Log4j المتوفرة في مستودعات حِزم Amazon Linux 2 الافتراضية. مع ذلك، في حالة نشر عميل المزامنة من WorkDocs على WorkSpaces في Windows، يرجى اتخاذ الإجراءات الموصى بها أدناه.
لا يكون عميل المزامنة من WorkDocs مثبّتًا بتطبيق WorkSpaces في Windows افتراضيًا. ومع ذلك، اعتاد تطبيق WorkSpaces توفير اختصار افتراضي على سطح المكتب في مثبّت عميل المزامنة من WorkDocs قبل يونيو/حزيران 2021. ويحتوي عميل المزامنة من WorkDocs بالإصدار 1.2.895.1 (والإصدارات الأقدم) على مكون Log4j. في حالة نشر الإصدارات القديمة من عميل المزامنة من WorkDocs على تطبيق WorkSpaces، يرجى إعادة تشغيل عميل المزامنة في WorkSpaces عبر أدوات الإدارة مثل SCCM، أو تدريب مستخدمي WorkSpaces على فتح عميل المزامنة من "Amazon WorkDocs" من قائمة البرامج المثبّتة. وعند الإطلاق، سيعمل عميل المزامنة على التحديث تلقائيًا إلى أحدث إصدار، 1.2.905.1، غير المتأثر بالمشكلة CVE-2021-44228. تؤثر المشكلة في تطبيقي WorkDocs Drive وWorkdocs Companion.
Amazon Timestream
تم تحديث Amazon Timestream للحد من المشكلات المحددة في CVE-2021-44228.
Amazon DocumentDB
اعتبارًا من 13 ديسمبر/كانون الأول 2021، تم تصحيح Amazon DocumentDB للحد من مشكلة Log4j المُشار إليها في CVE-2021-44228.
Amazon CloudWatch
تم تحديث خدمات Amazon CloudWatch للحد من المشكلات المحددة في CVE-2021-44228.
AWS Secrets Manager
تم تحديث AWS Secrets Manager للحد من المشكلات المحددة في CVE-2021-44228.
Amazon Single Sign-On
تم تحديث خدمات Amazon Single Sign-On للحد من المشكلات المحددة في CVE-2021-44228.
Amazon RDS Oracle
حدثت قاعدة بيانات Amazon RDS Oracle إصدار Log4j2 قيد الاستخدام في الخدمة. ولا يزال الوصول إلى مثيلات RDS مقيدًا من خلال خدمة VPC وعناصر التحكم الأمنية الأخرى، مثل المجموعات الأمنية وقوائم التحكم بالوصول (ACL) في الشبكة. نوصيك بشدة بمراجعة هذه الإعدادات لضمان إدارة الوصول بشكل جيد إلى مثيلات RDS.
لا تؤثر هذه المشكلة على قاعدة بيانات Oracle وفقًا للوثيقة 2827611.1 الخاصة بدعم Oracle Support.
Amazon Cloud Directory
تم تحديث Amazon Cloud Directory للحد من المشكلات المحددة في CVE-2021-44228.
Amazon Simple Queue Service (SQS)
انتهت خدمة Amazon Simple Queue Service (SQS) من تصحيح مشكلة Apache Log4j2 (CVE-2021-44228) المتعلقة باستيعاب بيانات SQS وإخراجها بتاريخ 13 ديسمبر/كانون الأول 2021. وانتهينا أيضًا من تصحيح كل أنظمة SQS الأخرى التي كانت تستخدم Log4j2.
AWS KMS
تم تحديث AWS KMS للحد من المشكلات المحددة في CVE-2021-44228.
Amazon Redshift
تم تحديث مجموعات Amazon Redshift تلقائيًا للحد من المشكلات المحددة في CVE-2021-44228.
AWS Lambda
لا تتضمن AWS Lambda الأداة Log4j2 في مُدد العرض المُدارة أو صور الحاويات الأساسية. ولذلك، لا تؤثر المشكلة الموضحة في CVE-2021-44228 وCVE-2021-45046 على ذلك.
بالنسبة للحالات التي تحتوي فيها وظيفة العميل على أحد إصدارات Log4j2 المتأثرة، أجرينا تغييرًا على مُدد العرض المُدارة وصور الحاويات الأساسية في Lambda Java (الإصدار Java 8 وJava 8 على AL2 وJava 11) التي تساعد في الحد من المشكلات الموضحة في CVE-2021-44228 وCVE-2021-45046. سيُطبق التغيير تلقائيًا لدى العملاء الذي يستخدمون مُدد العرض المُدارة. وسيتطلب العملاء من مستخدمي صور الحاويات إعادة الإنشاء من أحدث صورة للحاوية الأساسية، وإعادة نشرها.
بغض النظر عن هذا التغيير، نوصي بشدة كل العملاء الذين تتضمن وظائفهم Log4j2 بالتحديث إلى أحدث إصدار. وبالأخص، يجب على العملاء من مستخدمي مكتبة aws-lambda-java-log4j2 في وظائفهم التحديث إلى الإصدار 1.4.0 وإعادة نشر هذه الوظائف. ويعمل هذا الإصدار على تحديث تبعيات الأداة المساعدة الأساسية Log4j2 إلى الإصدار 2.16.0. يتوفر الملف الثنائي المحدّث aws-lambda-java-log4j2 في مستودع Maven، بينما تتوفر التعليمة البرمجية المصدر في منصة Github.
إن AWS على دراية بالمشكلة الأمنية (CVE-2021-44228) التي تم اكتشافها مؤخرًا وتتعلق بالأداة المساعدة ذات المصدر المفتوح "Apache "Log4j2.
كما تتضح أهمية توفير عدة طبقات من التقنيات الدفاعية المهمة للغاية في الحفاظ على أمن أعباء العمل والبيانات الخاصة بالعملاء عند الاستجابة لمشكلات أمنية مثل هذه المشكلة. ولقد تعاملنا مع هذه المشكلة بجدية شديدة، ويعمل فريقنا الذي يضم مهندسين من الطراز الأول على مدار الساعة لتحسين خدمات الاستجابة وإصلاح المشكلات. نتوقع سريعًا استعادة حالة دفاعنا بالكامل وبالتفصيل.
ولا نزال نوصي عملاءنا باتخاذ إجراء بشأن تحديث كل تطبيقاتهم وخدماتهم من خلال تصحيح المشكلات المعروفة مثل هذه المشكلة، ومواصلة اتباع الإرشادات الجيدة.
تتوفر فيما يلي معلومات إضافية خاصة بالخدمة. إذا كنت بحاجة إلى تفاصيل أخرى أو مساعدة، يرجى التواصل مع AWS Support.
Amazon API Gateway
اعتبارًا من 13 ديسمبر/كانون الأول 2021، تم تصحيح كل مضيفي Amazon API Gateway للحد من مشكلة Log4j المُشار إليها في CVE-2021-44228.
Amazon CloudFront
تم تحديث خدمات Amazon CloudFront للحد من المشكلات المحددة في CVE-2021-44228. إن الخدمات المعالِجة لطلبات CloudFront والمشغلة في POP لدينا ليست مكتوبة بلغة Java، ولذا لم تؤثر هذه المشكلة في هذه الخدمات.
Amazon Connect
تم تحديث خدمات Amazon Connect للحد من المشكلات المحددة في CVE-2021-44228.
Amazon DynamoDB
تم تحديث Amazon DynamoDB وAmazon DynamoDB Accelerator (DAX) للحد من المشكلات المحددة في CVE-2021-44228.
Amazon EC2
لا تؤثر CVE-2021-44228 على إصدارات Log4j المتاحة في مستودعات Amazon Linux 1 ومستودعات Amazon Linux 2. يتوفر المزيد من المعلومات حول تحديثات البرامج المتعلقة بالأمن لـ Amazon Linux في مركز أمان Amazon Linux.
Amazon ElastiCache
لا يتضمن محرك Redis من Amazon ElastiCache الأداة Log4j2 في مُدد العرض المُدارة أو صور الحاويات الأساسية. وانتهت خدمة Amazon ElastiCache من تصحيح مشكلة (CVE-2021-44228) في Apache Log4j2 بتاريخ 12 ديسمبر/كانون الأول 2021.
Amazon EMR
تؤثر CVE-2021-44228 في إصدارات Apache Log4j من الإصدار 2.0 حتى الإصدار 2.14.1 عند معالجة المدخلات المتوفرة من مصادر غير موثوق بها. وتشتمل مجموعات EMR التي تم إطلاقها بالإصدارين EMR 5 وEMR 6، على إطارات عامة ذات مصدر مفتوح، مثل Apache Hive وApache Flink وHUDI وPresto وTrino، تستخدم هذين الإصدارين من Apache Log4j. عند إطلاق مجموعة بتكوين EMR الافتراضي، فإنها لا تعالج المدخلات الواردة عن مصادر غير موثوق بها.
نعمل جاهدين على إنشاء تحديث يحد من المشكلة التي نوقشت في CVE-2021-44228 عندما تجري الإطارات العامة ذات المصدر المفتوح المثبتة على مجموعة EMR معالجة المعلومات الواردة عن مصادر غير موثوق بها.
AWS IoT SiteWise Edge
توفرت تحديثات لكل مكونات AWS IoT SiteWise Edge التي تستخدم Log4j للنشر بتاريخ 12/13/2021. وهذه المكونات هي: أداة تجميع OPC-UA (الإصدار 2.0.3)، وحزمة معالجة البيانات (الإصدار 2.0.14)، وPublisher (الإصدار 2.0.2). توصي AWS العملاء من مستخدمي هذه المكونات بنشر أحدث الإصدارات على بوابات SiteWise Edge لديهم.
Amazon Keyspaces (لـ Apache Cassandra)
تم تحديث Amazon Keyspaces (في نظام Apache Cassandra) للحد من المشكلات المحددة في CVE-2021-44228.
Amazon Kinesis Data Analytics
تتضمن إصدارات Apache Flink المدعومة من Amazon Kinesis Data Analytics إصدارات Apache Log4j بداية من الإصدار 2.0 حتى 2.14.1. وتعمل تطبيقات Kinesis Data Analytics في بيئات معزولة تخدم مثيلاً واحدًا، ولا يمكنها التفاعل معًا.
نقوم بتحديث إصدار Log4j المتاح لتطبيقات عملاء Kinesis Data Analytics في جميع مناطق AWS. تحصل التطبيقات التي يتم تشغيلها أو تحديثها بعد الساعة 6:30 مساءً بتوقيت المحيط الهادئ القياسي يوم 12/ 12/ 2021 تلقائيًا على التصحيح المحدث. ويمكن للعملاء، الذين تم بدء تشغيل تطبيقاتهم أو تحديثها قبل ذلك التاريخ، التأكد من تشغيل تطبيقاتهم على الإصدار المحدّث من Log4j من خلال استدعاء واجهة برمجة التطبيقات (API) UpdateApplication في Kinesis Data Analytics. تتوفر المزيد من المعلومات حول واجهة برمجة التطبيقات UpdateApplication في الوثائق المتعلقة بالخدمة.
Amazon Kinesis Data Streams
نعمل جاهدين على تصحيح كل الأنظمة الفرعية التي تستخدم Log4j2 من خلال إجراء التحديثات. ولا تتأثر مكتبة Kinesis Client Library (KCL) بالإصدار 2.X، وكذلك مكتبة Kinesis Producer Library (KPL). بالنسبة للعملاء من مستخدمي مكتبة KCL بالإصدار 1.x، طرحنا إصدارًا محدّثًا ونوصي كل عملاء مكتبة KCL بالإصدار 1.x بالترقية إلى مكتبة KCL بالإصدار 1.14.5 (أو إصدارات أحدث) المتوفر هنا.
Amazon Managed Streaming for Apache Kafka (MSK)
نحن على دراية بمشكلة (CVE-2021-44228) التي تم الكشف عنها مؤخرًا فيما يتعلق بمكتبة Apache Log4j2، ونجري حاليًا التحديثات المطلوبة. لذا، يرجى ملاحظة أن تصميمات Apache Kafka وApache Zookeeper المتوفرة في MSK تستخدم حاليًا الأداة Log4j بالإصدار 1.2.17 الذي لا يتأثر بهذه المشكلة. وتستخدم بعض مكونات الخدمة الخاصة بـ MSK مكتبة Log4j بإصدار أحدث من 2.0.0، وسيتم تصحيحها إذا لزم الأمر.
Amazon Managed Workflows for Apache Airflow (MWAA)
تتضمن خدمة MWAA مجالين من المجالات المعنية المتعلقة بمشكلة (CVE-2021-44228) التي تم الكشف عنها مؤخرًا فيما يتعلق بمكتبة Apache Log4j2 وهما: التعليمة البرمجية لخدمة Amazon MWAA (الخاصة بـ AWS) والتعليمة البرمجية ذات المصدر المفتوح (Apache Airflow).
اعتبارًا من 14 ديسمبر/كانون الأول 2021، انتهينا من إجراء كل التحديثات المطلوبة للتعليمة البرمجية لخدمة MWAA من أجل معالجة المشكلة. ولا تستخدم Apache Airflow الأداة Log4j2، ولا تؤثر فيها هذه المشكلة.
نوصي بشدة العملاء الذين أضافوا الأداة Log4j2 إلى بيئاتهم للتحديث إلى أحدث إصدار.
Amazon MemoryDB for Redis
وانتهت خدمة Amazon MemoryDB for Redis من تصحيح مشكلة (CVE-2021-44228) في Apache Log4j2 بتاريخ 12 ديسمبر/كانون الأول 2021.
Amazon MQ
لدى Amazon MQ مجالان يتعين وضعهما في الاعتبار فيما يتعلق بالمشكلة التي تم الكشف عنها مؤخرًا (CVE-2021-44228) المتعلقة بمكتبة Apache Log4j2 وهما: التعليمة البرمجية لخدمة Amazon MQ (خاصة بـ AWS) والتعليمة البرمجية مفتوحة المصدر (وسطاء رسائل Apache ActiveMQ وRabbitMQ).
اعتبارًا من 13 ديسمبر 2021، أكملنا جميع التحديثات المطلوبة للتعليمة البرمجية لخدمة Amazon MQ لمعالجة المشكلة.
لا توجد تحديثات مطلوبة لوسطاء الرسائل مفتوحة المصدر. تستخدم جميع إصدارات Apache ActiveMQ المتوفرة في Amazon MQ الإصدار 1.2.x من Log4j، والذي لا يتأثر بهذه المشكلة. لا يستخدم برنامج RabbitMQ الأداة Log4j، ولا تؤثر فيه هذه المشكلة.
Amazon Neptune
تم تحديث كل مجموعات Amazon Neptune الفعالة تلقائيًا للحد من المشكلات المحددة في CVE-2021-44228.
Amazon OpenSearch Service
طرحت خدمة Amazon OpenSearch Service تحديثًا مهمًا لبرنامج الخدمة، وهو الإصدار R20211203-P2، يحتوي على إصدار محدّث من Log4j2 في كل المناطق. ونوصي بشدة العملاء بتحديث مجموعات OpenSearch لديهم إلى هذا الإصدار في أقرب وقت.
Amazon RDS
تعالج خدمة Amazon RDS وAmazon Aurora بفعالية كل استخدامات Log4j2 من خلال إجراء التحديثات. ولا تتضمن محركات قاعدة البيانات العلائقية المضمنة في RDS مكتبة Apache Log4j2. عند إشراك موردين رئيسيين، فإننا نطبق الإجراءات التخفيفية الموصى بها لديهم. وقد يلاحظ العملاء أحداثًا متقطعة في أثناء تحديث المكونات الداخلية.
Amazon S3
انتهت خدمة Amazon S3 من تصحيح مشكلة (CVE-2021-44228) في Apache Log4j2 المتعلقة باستيعاب بيانات S3 وإخراجها بتاريخ 11 ديسمبر/كانون الأول 2021. وانتهينا أيضًا من تصحيح كل أنظمة S3 الأخرى التي استخدمت Log4j2.
Amazon Simple Notification Service (SNS)
يتم تصحيح أنظمة Amazon SNS التي تخدم حركة مرور العملاء تجنبًا لمشكلة في Log4j2. ونعمل على تطبيق تصحيح Log4j2 على الأنظمة الفرعية التي تعمل بشكل منفصل عن أنظمة SNS التي تخدم حركة مرور العملاء.
Amazon Simple Workflow Service (SWF)
تم تحديث خدمة Amazon Simple Workflow Service (SWF) للحد من المشكلات المحددة في CVE-2021-44228.
AWS CloudHSM
تحتوي إصدارات JCE SDK في AWS CloudHSM الأقدم من الإصدار 3.4.1 على إصدار Apache Log4j المتأثر بهذه المشكلة. في 10 ديسمبر/كانون الأول 2021، طرحت خدمة CloudHSM حزمة JCE SDK بالإصدار 3.4.1 مع إصدار ثابت من Apache Log4j. إذا كنت تستخدم إصدارات CloudHSM JCE الأقدم من الإصدار 3.4.1، فقد تتأثر بالمشكلة ويجب عليك للحد من المشكلة ترقيةCloudHSM JCE SDK إلى الإصدار 3.4.1 أو الإصدارات الأحدث.
AWS Elastic Beanstalk
تعمل خدمة AWS Elastic Beanstalk على تثبيت Log4j من مستودعات الحِزم الافتراضية في Amazon Linux في منصات Tomcat لنظامي التشغيل Amazon Linux 1 وAmazon Linux 2. لا تؤثر CVE-2021-44228 على إصدارات Log4j المتاحة في مستودعات Amazon Linux 1 ومستودعات Amazon Linux 2.
إذا أجريت تغييرات في التكوين على استخدام تطبيقك للأداة Log4j، فإننا نوصيك بتحديث التعليمة البرمجية للتطبيق للتخفيف من حدة المشكلة الراهنة.
وفقًا لممارساتنا العادية، في حالة طرح إصدارات تم تصحيحها لإصدارات مستودعات الحِزم الافتراضية هذه، ستتضمن Elastic Beanstalk الإصدار الذي تم تصحيحه في إصدار منصة Tomcat التالي لنظامي التشغيل Amazon Linux 1 وAmazon Linux 2.
يتوفر المزيد من المعلومات حول تحديثات البرامج المتعلقة بالأمن لـ Amazon Linux في مركز أمان Amazon Linux.
AWS Glue
إن AWS Glue على علم بمشكلة الأمان التي تم الكشف عنها مؤخرًا والمتعلقة بالأداة " Apache "Log4j2 مفتوحة المصدر (CVE-2021-44228). قمنا بتحديث أسطول مستوى التحكم لدينا والذي يخدم واجهات برمجة تطبيقات AWS Glue لجميع إصدارات Glue المدعومة.
تنشئ AWS Glue بيئة Spark جديدةً معزولةً على مستوى الشبكة والإدارة عن جميع بيئات Spark الأخرى داخل حساب خدمة AWS Glue. ويتم تنفيذ مهام ETL في بيئة تخدم مثيلاً واحدًا. في حالة تحميل ملف حاوية مخصص لاستخدامه في مهام ETL أو نقاط نهاية التطوير التي تتضمن إصدارًا مخصصًا من Apache Log4j، فإننا نوصيك إذًا بتحديث حاويتك لاستخدام أحدث إصدار من Apache Log4j.
تطبق خدمة AWS Glue أيضًا التحديثات بشكل استباقي على بيئات Spark الجديدة في كل المناطق المدعومة. وإذا كانت لديك أسئلة أو تريد الحصول على مساعدة إضافية، يرجى التواصل مع دعم AWS Support.
AWS Greengrass
تتوفر تحديثات كل مكونات الإصدار الثاني من AWS Greengrass، التي تستخدم Log4j لنشرها اعتبارًا من 12/10/2021. وهذان المكونان هما: Stream Manager (الإصدار 2.0.14) وSecure Tunneling (الإصدار 1.0.6). توصي AWS العملاء الذين يستخدمون مكوني Greengrass بنشر أحدث الإصدارات على أجهزتهم.
تقوم ميزة Stream Manager الموجودة في Greengrass الإصدارين 1.10.x و1.11.x باستخدام Log4j. يوجد تحديث للميزة Stream Manager في إصداري Greengrass المصححين 1.10.5 و1.11.5، وكلاهما متاح اعتبارًا من 12/ 12/ 2021. نوصي بشدة العملاء من مستخدمي الإصدارين 1.10.x و1.11.x الذين مكّنوا ميزة Stream Manager على أجهزتهم (أو ربما يقوموا بتمكينها في المستقبل) بتحديث أجهزتهم إلى أحدث الإصدارات.
AWS Lake Formation
يُجرى تحديث الأجهزة المضيفة لخدمة AWS Lake Formation إلى أحدث إصدار من Log4j لمعالجة المشكلة مع الإصدارات المُشار إليها في CVE-2021-44228.
AWS Lambda
AWS Lambda لا تُدرج Log4j2 في مدد العرض المُدارة أو صور الحاوية الأساسية. وبالتالي، فهي غير متأثرة بالمشكلة الموضحة في CVE-2021-44228. سيحتاج العملاء من مستخدمي مكتبة aws-lambda-java-log4j2 في وظائفهم إلى التحديث إلى الإصدار 1.3.0 وإعادة نشره.
AWS SDK
تستخدم حزمة AWS SDK for Java واجهة تسجيل، ولا تتضمن تبعية لمدة العرض في Log4j. ولا نعتقد حاليًا أننا بحاجة إلى إجراء أي تغييرات على AWS SDK for Java فيما يتعلق بهذه المشكلة.
AWS Step Functions
تم تحديث AWS Step Functions للحد من المشكلات المحددة في CVE-2021-44228.
AWS Web Application Firewall (WAF)
لتحسين عملية اكتشاف المشكلات والإجراءات التخفيفية المتعلقة بالمشكلة الأمنية الأخيرة في Log4j، يمكن لعملاء CloudFront وApplication Load Balancer (ALB) وAPI Gateway وAppSync تمكين AWS WAF اختياريًا، واتباع اثنتين من قواعد AWS المُدارة (AMR) وهما: AWSManagedRulesKnownBadInputsRuleSet وAWSManagedRulesAnonymousIpList.
تفحص قاعدة AWSManagedRulesKnownBadInputsRuleSet معرف uri والنصوص والعناوين شائعة الاستخدام الخاصة بالطلب، بينما تساعد قاعدة AWSManagedRulesAnonymousIpList في تجميع الطلبات من الخدمات التي تسمح بتشويه هوية العارض. ويمكنك تطبيق هاتين القاعدتين من خلال إنشاء قائمة التحكم بالوصول إلى الشبكة في AWS WAF، وإضافة واحدة أو اثنتين من القواعد الفرعية إلى قائمة التحكم بالوصول إلى الشبكة، ثم إقران قائمة التحكم بالوصول إلى الشبكة بتوزيع CloudFront أو ALB أو API Gateway أو واجهات برمجة تطبيقات AppSync GraphQL.
ولا نزال نكرر استخدام مجموعة قواعد AWSManagedRulesKnownBadInputsRuleSet. لحين تعلم المزيد. ولتلقي تحديثات تلقائية بشأن AWSManagedRulesKnownBadInputsRuleSet، يرجى اختيار الإصدار الافتراضي. بالنسبة للعملاء من مستخدمي AWS WAF Classic، ستحتاج إلى الترحيل إلى AWS WAF أو إنشاء شروط مخصصة لمطابقة regex. ويمكن للعملاء استخدام خدمة AWS Firewall Manager التي تمكّنك من تكوين قواعد AWS WAF في نطاق موارد AWS وحساباتها المتعددة من مكان واحد. يمكنك تجميع القواعد، وإنشاء السياسات، وتطبيق هذه السياسات مركزيًا في بنيتك التحتية بالكامل.
NICE
بسبب وجود CVE في مكتبة Apache Log4j المضمّنة في EnginFrame بداية من الإصدار 2020.0 إلى 2021.0-r1307، توصيك خدمة NICE بالترقية إلى أحدث إصدار من EnginFrame أو التحديث إلى مكتبة Log4j عند تثبيت EnginFrame من خلال اتباع التعليمات الواردة في موقع الويب الخاص بالدعم.
يرجى ألا تتردد في الاتصال بنا.
إن AWS على دراية بالمشكلة الأمنية (CVE-2021-44228) التي تم اكتشافها مؤخرًا وتتعلق بالأداة المساعدة ذات المصدر المفتوح "Apache "Log4j2. إننا نتابع هذه المشكلة بكل عناية، ونعمل على معالجتها بجميع خدمات AWS التي إما تستخدم Log4j2 أو توفرها للعملاء كجزء من خدمتهم.
كما نوصي بشدة العملاء الذين يديرون بيئات تحتوي على Log4j2 بالتحديث إلى أحدث إصدار، أو إلى آلية تحديث برامج نظام التشغيل الخاصة بهم. فيما يلي معلومات إضافية حول كل خدمة.
إذا كنت بحاجة إلى تفاصيل أخرى أو مساعدة، يُرجى التواصل مع AWS Support.
S3
أكملت خدمة S3 التصحيح لمشكلة Apache Log4j2 (CVE-2021-44228) المتعلقة بإدخال بيانات S3 وإخراجها في 11 ديسمبر 2021. كما أكملنا أيضًا تصحيح جميع أنظمة S3 الأخرى التي استخدمت Log4j2.
Amazon OpenSearch
تنشر خدمة Amazon OpenSearch تحديثًا لبرنامج الخدمة، الإصدار R20211203-P2، والذي يتضمن إصدارًا مُحدّثًا من Log4j2. سنخطر العملاء فور توفر التحديث في مناطقهم، وسنحدِّث هذه النشرة بمجرد توفره في جميع أنحاء العالم.
AWS Lambda
AWS Lambda لا تُدرج Log4j2 في مدد العرض المُدارة أو صور الحاوية الأساسية. لذلك لا تتأثر بالمشكلة الموضحة في CVE-2021-44228. سيحتاج العملاء الذين يستخدمون مكتبة aws-lambda-java-log4j2 في وظائفهم إلى التحديث إلى الإصدار 1.3.0 وإعادة النشر.
AWS CloudHSM
تحتوي إصدارات CloudHSM JCE SDK الأقدم من 3.4.1 على إصدار من Apache Log4j متأثر بهذه المشكلة. في 10 ديسمبر 2021، قامت CloudHSM بإصدار JCE SDK v3.4.1 مع إصدار مصحح من Apache Log4j. إذا كنت تستخدم إصدارات من CloudHSM JCE أقدم من 3.4.1، فقد تتأثر بالمشكلة، وللتخفيف من حدة المشكلة ينبغي لك ترقية CloudHSM JCE SDK إلى الإصدار 3.4.1 أو أحدث.
Amazon EC2
لا تؤثر CVE-2021-44228 على إصدارات Log4j المتاحة في مستودعات Amazon Linux 1 ومستودعات Amazon Linux 2. يتوفر المزيد من المعلومات حول تحديثات البرامج المتعلقة بالأمان لـ Amazon Linux بمركز أمان Amazon Linux
API Gateway
نقوم بتحديث بوابة API Gateway لاستخدام إصدار من Log4j2 يخفف من حدة المشكلة. قد تلاحظ زيادات دورية في زمن الاستجابة لبعض واجهات برمجة التطبيقات في أثناء هذه التحديثات.
AWS Greengrass
تحديثات مكوني Greengrass V2 اللذين يستخدمان Log4j متاحين للنشر اعتبارًا من 10/ 12/ 2021. هذان المكونان هما: Stream Manager (2.0.14) وSecure Tunneling (1.0.6). توصي AWS العملاء الذين يستخدمون مكوني Greengrass بنشر أحدث الإصدارات على أجهزتهم.
تقوم ميزة Stream Manager الموجودة في Greengrass الإصدارين 1.10.x و1.11.x باستخدام Log4j. يوجد تحديث للميزة Stream Manager في إصداري Greengrass المصححين 1.10.5 و1.11.5، وكلاهما متاح اعتبارًا من 12/ 12/ 2021. نوصي بشدة بأن يقوم العملاء الذين يستخدمون الإصدارين 1.10.x و1.11.x ولديهم ميزة Stream Manager ممكّنة على أجهزتهم (أو ربما يقومون بتمكينها في المستقبل) بتحديث أجهزتهم إلى أحدث الإصدارات.
CloudFront
تم تحديث خدمات CloudFront للتخفيف من حدة المشكلات المحددة في CVE-2021-44228. لا تتم كتابة خدمات معالجة طلبات CloudFront التي يتم تشغيلها في نقطة التواجد الخاصة بنا بلغة Java، ولذا لم تتأثر بهذه المشكلة.
Elastic Beanstalk
تقوم AWS Elastic Beanstalk بتثبيت Log4j من مستودعات الحزم الافتراضية لـ Amazon Linux في منصات Tomcat الخاصة بها لنظامي Amazon Linux 1 وAmazon Linux 2. لا تؤثر CVE-2021-44228 على إصدارات Log4j المتاحة في مستودعات Amazon Linux 1 ومستودعات Amazon Linux 2.
إذا أجريت تغييرات في التكوين على استخدام تطبيقك للأداة Log4j، فإننا نوصيك بتحديث التعليمة البرمجية للتطبيق للتخفيف من حدة المشكلة الراهنة.
وفقًا لممارساتنا العادية، إذا تم إصدار إصدارات مصححة من إصدارات مستودع الحزم الافتراضية هذه، فإن Elastic Beanstalk ستتضمن الإصدار المصحح في إصدار منصة Tomcat التالي لنظامي Amazon Linux 1 وAmazon Linux 2.
يتوفر المزيد من المعلومات حول تحديثات البرامج المتعلقة بالأمان لـ Amazon Linux بمركز أمان Amazon Linux
EMR
تؤثر CVE-2021-44228 على إصدارات Apache Log4j بين 2.0 و2.14.1 عند معالجة المدخلات من مصادر غير موثوق بها. تتضمن مجموعات EMR التي تم إطلاقها مع إصداري EMR 5 وEMR 6 أطر عمل مفتوحة المصدر مثل Apache Hive وFlink وHUDI وPresto وTrino، والتي تستخدم هذه الإصدارات من Apache Log4j. عند إطلاق مجموعة مع تكوين EMR الافتراضي، فإنها لا تعالج المدخلات من مصادر غير موثوق بها.
نعمل بكل عزم على إنشاء تحديث يخفف من حدة المشكلة التي تمت مناقشتها في CVE-2021-44228 عند تثبيت أطر عمل مفتوحة المصدر على معلومات معالجة مجموعات EMR الخاصة بك من مصادر غير موثوق بها.
Lake Formation
يتم تحديث مضيفات خدمة Lake Formation بشكل استباقي إلى أحدث إصدار من Log4j لمعالجة مشكلة الأمان بالإصدارات المشار إليها في CVE-2021-44228.
AWS SDK
تستخدم AWS SDK for Java واجهة تسجيل، ولا تعتمد على مدة العرض في log4j. لا نعتقد حاليًا أننا بحاجة لإجراء أي تغييرات على AWS SDK for Java فيما يتعلق بهذه المشكلة.
AMS
نراقب هذه المشكلة بكل اهتمام، ونعمل على معالجتها بجميع خدمات AMS التي تستخدم Log4j2. كما نوصي بشدة العملاء الذين يديرون بيئات تحتوي على Log4j2 على التحديث إلى أحدث إصدار، أو إلى آلية تحديث برامج نظام التشغيل الخاصة بهم.
Amazon Neptune
تتضمن Amazon Neptune مكتبة Apache Log4j2 كمكوِّن طرفي، ولكن لا يُعتقد أن تلك المشكلة قد تؤثر على مستخدمي Neptune. كإجراء وقائي، سيتم تحديث مجموعات Neptune تلقائيًا لاستخدام إصدار Log4j2 الذي يعالج المشكلة. قد يلاحظ العملاء أحداثًا متقطعةً أثناء التحديث.
NICE
نظرًا لوجود CVE في مكتبة Apache Log4j، المضمنة في EnginFrame من الإصدار 2020.0 إلى 2021.0-r1307، توصي NICE بالترقية إلى أحدث إصدار من EnginFrame، أو تحديث مكتبة Log4j عند تثبيت EnginFrame باتباع التعليمات الموجودة على موقع الويب الخاص بالدعم.
لا تتردد في الاتصال بنا.
Kafka
تُدرك Managed Streaming for Apache Kafka المشكلة التي تم الكشف عنها مؤخرًا (CVE-2021-44228) المتعلقة بمكتبة Apache Log4j2 وتقوم بتطبيق التحديثات على النحو المطلوب. يُرجى ملاحظة أن تصميمات Apache Kafka وApache Zookeeper المقدمة في MSK تستخدم حاليًا log4j 1.2.17، والذي لا يتأثر بهذه المشكلة. تستخدم بعض مكونات الخدمة الخاصة بـ MSK مكتبة log4j> 2.0.0 وسيتم تصحيحها إذا لزم الأمر.
AWS Glue
إن AWS Glue على علم بمشكلة الأمان التي تم الكشف عنها مؤخرًا والمتعلقة بالأداة " Apache "Log4j2 مفتوحة المصدر (CVE-2021-44228). قمنا بتحديث أسطول مستوى التحكم لدينا والذي يخدم واجهات برمجة تطبيقات AWS Glue لجميع إصدارات Glue المدعومة.
تنشئ AWS Glue بيئة Spark جديدةً معزولةً على مستوى الشبكة والإدارة عن جميع بيئات Spark الأخرى داخل حساب خدمة AWS Glue. يتم تنفيذ مهام ETL في بيئة تخدم مثيلاً واحدًا. إذا قامت مهام ETL بتحميل إصدار معين من Apache Log4j، يُنصح بتحديث برامجك النصية لاستخدام أحدث إصدار من Apache Log4j. إذا كنت تستخدم نقاط نهاية تطوير AWS Glue لتأليف البرامج النصية، يُنصح أيضًا بتحديث إصدار Log4j الذي تستخدمه هناك.
تطبّق AWS Glue كذلك التحديثات بشكل استباقي على بيئة Spark الجديدة بجميع المناطق المدعومة. إذا كانت لديك أسئلة أو ترغب في الحصول على مساعدة إضافية، يرجى الاتصال بنا من خلال AWS Support.
RDS
يعالج كل من Amazon RDS وAmazon Aurora بشكلٍ فعالٍ جميع استخدامات خدمة Log4j2 من خلال تطبيق التحديثات. محركات قاعدة البيانات العلائقية المبنية على RDS لا تتضمن مكتبة Apache Log4j. عندما يتم إشراك موردين رئيسيين، فإننا نطبق التخفيف الموصى به لهم. قد يلاحظ العملاء أحداثًا متقطعةً أثناء تحديث المكونات الداخلية.
Amazon Connect
تم تحديث خدمات Amazon Connect للتخفيف من حدة المشكلات المحددة في CVE-2021-44228.
Amazon DynamoDB
تم تحديث Amazon DynamoDB وAmazon DynamoDB Accelerator (DAX) للتخفيف من حدة المشكلات المحددة في CVE-2021-44228.
Amazon Keyspaces (الخاص بـ Apache Cassandra)
تم تحديث Amazon Keyspaces (الخاص بـ Apache Cassandra) للتخفيف من حدة المشكلات المحددة في CVE-2021-44228.
Amazon MQ
لدى Amazon MQ مجالان يتعين وضعهما في الاعتبار فيما يتعلق بالمشكلة التي تم الكشف عنها مؤخرًا (CVE-2021-44228) المتعلقة بمكتبة Apache Log4j2 وهما: التعليمة البرمجية لخدمة Amazon MQ (خاصة بـ AWS) والتعليمة البرمجية مفتوحة المصدر (وسطاء رسائل Apache ActiveMQ وRabbitMQ).
اعتبارًا من 13 ديسمبر 2021، أكملنا جميع التحديثات المطلوبة للتعليمة البرمجية لخدمة Amazon MQ لمعالجة المشكلة.
لا توجد تحديثات مطلوبة لوسطاء الرسائل مفتوحة المصدر. تستخدم جميع إصدارات Apache ActiveMQ المتوفرة في Amazon MQ الإصدار 1.2.x من Log4j، والذي لا يتأثر بهذه المشكلة. RabbitMQ لا يستخدم Log4j وعليه فهو لا يتأثر بالمشكلة الراهنة.
Kinesis Data Analytics
تتضمن إصدارات Apache Flink المدعومة من قِبَل Kinesis Data Analytics إصدارات Apache Log4j بين 2.0 و2.14.1. تعمل تطبيقات Kinesis Data Analytics في بيئات تخدم مثيلاً واحدةً ومعزولةً ولا يمكنها التفاعل مع بعضها البعض.
نقوم بتحديث إصدار Log4j المتاح لتطبيقات عملاء Kinesis Data Analytics في جميع مناطق AWS. تحصل التطبيقات التي يتم تشغيلها أو تحديثها بعد الساعة 6:30 مساءً بتوقيت المحيط الهادئ القياسي يوم 12/ 12/ 2021 تلقائيًا على التصحيح المحدث. يمكن للعملاء الذين تم بدء تشغيل تطبيقاتهم أو تحديثها قبل ذلك التاريخ، التأكد من تشغيل تطبيقاتهم على الإصدار المحدث من Log4j عن طريق الاتصال بواجهة برمجة التطبيقات Kinesis Data Analytics UpdateApplication API. يرجى الرجوع إلى مزيد من المعلومات حول واجهة برمجة تطبيقات UpdateApplication.
إن AWS على دراية بالمشكلة الأمنية (CVE-2021-44228) التي تم اكتشافها مؤخرًا وتتعلق بالأداة المساعدة ذات المصدر المفتوح "Apache "Log4j2. إننا نتابع هذه المشكلة بكل عناية، ونعمل على معالجتها بجميع خدمات AWS التي إما تستخدم Log4j2 أو توفرها للعملاء كجزء من خدمتهم.
كما نوصي بشدة العملاء الذين يديرون بيئات تحتوي على Log4j2 بالتحديث إلى أحدث إصدار، أو إلى آلية تحديث برامج نظام التشغيل الخاصة بهم.
تم الإبلاغ عن أن استخدام Log4j2 على إصدارات JDK الأحدث من 8u121 أو 8u191 (بما في ذلك JDK 11 والإصدارات الأحدث) قد يخفف من حدة المشكلة، ولكن ذلك مجرد تخفيف جزئي. والحل الوحيد الشامل هو ترقية Log4j2 إلى 2.15، واعتبار إصدارات Log4j2 الأقدم من 2.15 معيبةً بصرف النظر عن توزيع الوحدة JDK أو الإصدار المستخدم.
فيما يلي معلومات إضافية حول كل خدمة.
إذا كنت بحاجة إلى تفاصيل أخرى أو مساعدة، يُرجى التواصل مع AWS Support.
API Gateway
نقوم بتحديث بوابة API Gateway لاستخدام إصدار من Log4j2 يخفف من حدة المشكلة. قد تلاحظ زيادات دورية في زمن الاستجابة لبعض واجهات برمجة التطبيقات في أثناء هذه التحديثات.
AWS Greengrass
تحديثات مكوني Greengrass V2 اللذين يستخدمان Apache Log4j2 متاحين للنشر منذ 10/ 12/ 2021. هذان المكونان هما: Stream Manager (2.0.14) وSecure Tunneling (1.0.6). توصي AWS العملاء الذين يستخدمون مكوني Greengrass بنشر أحدث الإصدارات على أجهزتهم.
من المتوقع أن تتوفر تحديثات للإصدارين 1.10 و1.11 من Greengrass بحلول 17/ 12/ 2021. يوصى العملاء الذين يستخدمون Stream Manager على هذه الأجهزة بتحديث أجهزتهم بمجرد إتاحة ثنائيات Greengrass لهذين الإصدارين. في غضون ذلك، ينبغي للعملاء التحقق من أن تعليمة lambda البرمجية المخصصة التي تستخدم Stream Manager على Greengrass الإصدار 1.10 أو الإصدار 1.11 لا تستخدم أسماء تدفق عشوائية وأسماء ملفات (بالنسبة لمُصدّر S3) خارج سيطرة العميل، على سبيل المثال اسم تدفق أو اسم ملف يحتوي على النص “${".
Amazon MQ
لدى Amazon MQ مجالان يتعين وضعهما في الاعتبار فيما يتعلق بالمشكلة التي تم الكشف عنها مؤخرًا (CVE-2021-44228) المتعلقة بمكتبة Apache Log4j2 وهما: التعليمة البرمجية لخدمة Amazon MQ (خاصة بـ AWS) والتعليمة البرمجية مفتوحة المصدر (وسطاء رسائل Apache ActiveMQ وRabbitMQ).
نطبق التحديثات المطلوبة على التعليمة البرمجية لخدمة Amazon MQ لمعالجة المشكلة.
لا توجد تحديثات مطلوبة لوسطاء الرسائل مفتوحة المصدر. تستخدم جميع إصدارات Apache ActiveMQ المتوفرة في Amazon MQ الإصدار 1.x من Log4j، وهو لا يتأثر بهذه المشكلة. RabbitMQ لا يستخدم Log4j2 وعليه فهو لا يتأثر بالمشكلة الراهنة.
CloudFront
تم تحديث خدمات CloudFront للتخفيف من حدة المشكلات المحددة في CVE-2021-44228. لا تتم كتابة خدمات معالجة طلبات CloudFront التي يتم تشغيلها في نقطة التواجد الخاصة بنا بلغة Java، وبالتالي لم تتأثر بهذه المشكلة.
AWS Elastic Beanstalk
تقوم AWS Elastic Beanstalk بتثبيت Log4j من مستودعات الحزم الافتراضية لـ Amazon Linux في منصات Tomcat الخاصة بها لنظامي Amazon Linux 1 وAmazon Linux 2. لا تؤثر CVE-2021-44228 على إصدارات Log4j المتوفرة في مستودعات Amazon Linux 1 ومستودعات Amazon Linux 2.
إذا أجريت تغييرات في التكوين على استخدام تطبيقك للأداة Log4j، فإننا نوصيك بتحديث التعليمة البرمجية للتطبيق للتخفيف من حدة المشكلة الراهنة.
وفقًا لممارساتنا العادية، إذا تم إصدار إصدارات مصححة من إصدارات مستودع الحزم الافتراضية هذه، فإن Elastic Beanstalk ستتضمن الإصدار المصحح في إصدار منصة Tomcat التالي لنظامي Amazon Linux 1 وAmazon Linux 2.
يتوفر المزيد من المعلومات حول تحديثات البرامج المتعلقة بالأمان لـ Amazon Linux بمركز أمان Amazon Linux.
EMR
تؤثر CVE-2021-44228 على إصدارات Apache Log4j بين 2.0 و2.14.1 عند معالجة المدخلات من مصادر غير موثوق بها. تتضمن مجموعات EMR التي تم إطلاقها مع إصداري EMR 5 وEMR 6 أطر عمل مفتوحة المصدر مثل Apache Hive وFlink وHUDI وPresto وTrino، والتي تستخدم هذه الإصدارات من Apache Log4j. عند إطلاق مجموعة مع تكوين EMR الافتراضي، فإنها لا تعالج المدخلات من مصادر غير موثوق بها.
نعمل بكل عزم على إنشاء تحديث يخفف من حدة المشكلة التي تمت مناقشتها في CVE-2021-44228 عند تثبيت أطر عمل مفتوحة المصدر على معلومات مجموعة EMR الخاصة بك من مصادر غير موثوق بها.
Lake Formation
يتم تحديث مضيفات خدمة Lake Formation بشكل استباقي إلى أحدث إصدار من Log4j لمعالجة المشكلة الراهنة مع الإصدارات المشار إليها في CVE-2021-44228.
S3
تم تصحيح إدخال البيانات وإخراجها لخدمة S3 فيما يخص مشكلة Log4j2. نعمل على تطبيق تصحيح لـ Log4j2 على أنظمة S3 التي تعمل بشكل منفصل عن إدخال البيانات وإخراجها لخدمة S3.
AWS SDK
تستخدم AWS SDK for Java واجهة تسجيل، ولا تعتمد على مدة العرض في Log4j. لا نعتقد حاليًا أننا بحاجة لإجراء أي تغييرات على AWS SDK for Java فيما يتعلق بهذه المشكلة.
AMS
نراقب هذه المشكلة بكل اهتمام، ونعمل على معالجتها بجميع خدمات AMS التي تستخدم Log4j2. نوصي بشدة العملاء الذين يديرون بيئات تحتوي على Log4j2 بالتحديث إلى أحدث إصدار، أو عن طريق استخدام آلية تحديث برامج نظام التشغيل الخاصة بهم.
توصي AMS بنشر Web Application Firewall (WAF) لجميع نقاط نهاية التطبيقات التي يمكن الوصول إليها عبر الإنترنت. يمكن تكوين خدمة AWS WAF بحيث توفر طبقة دفاع إضافيةً لهذه المشكلة من خلال نشر مجموعة قواعد AWSManagedRulesAnonymousIpList (التي تحتوي على قواعد لحظر المصادر المعروفة بإخفاء هوية معلومات العميل، مثل عُقد TOR) ومجموعة قواعد AWSManagedRulesKnownBadInputsRuleSet (والتي من شأنها فحص عنوان معرف الموارد المنتظم (URI)، ونص الطلب، والعناوين شائعة الاستخدام للمساعدة في حظر الطلبات المتعلقة بـ Log4j وغيرها من المشكلات).
ستواصل AMS متابعة المشكلة الراهنة وتقديم تفاصيل وتوصيات إضافية عند توفرها.
Amazon Neptune
تتضمن Amazon Neptune مكتبة Apache Log4j2 كمكوِّن طرفي، ولكن لا يُعتقد أن تلك المشكلة قد تؤثر على مستخدمي Neptune. كإجراء وقائي، سيتم تحديث مجموعات Neptune تلقائيًا لاستخدام إصدار Log4j2 الذي يعالج المشكلة. قد يلاحظ العملاء أحداثًا متقطعة أثناء التحديث.
NICE
نظرًا لوجود CVE في مكتبة Apache Log4j المضمنة في EnginFrame من الإصدار 2020.0 إلى 2021.0-r1307، توصي NICE بالترقية إلى أحدث إصدار من EnginFrame، أو تحديث مكتبة Log4j عند تثبيت EnginFrame باتباع التعليمات الواردة على موقع الدعم على الويب.
لا تتردد في الاتصال بنا.
Kafka
تُدرك Managed Streaming for Apache Kafka المشكلة التي تم الكشف عنها مؤخرًا (CVE-2021-44228) المتعلقة بمكتبة Apache Log4j2 وتقوم بتطبيق التحديثات على النحو المطلوب. يُرجى ملاحظة أن تصميمات Apache Kafka وApache Zookeeper المقدمة في MSK تستخدم حاليًا Log4j 1.2.17، والذي لا يتأثر بهذه المشكلة. تستخدم بعض مكونات الخدمة الخاصة بـ MSK مكتبة Log4j > 2.0.0 وسيتم تصحيحها إذا لزم الأمر.
AWS Glue
إن AWS Glue على علم بمشكلة الأمان التي تم الكشف عنها مؤخرًا والمتعلقة بالأداة " Apache "Log4j2 مفتوحة المصدر (CVE-2021-44228). قمنا بتحديث أسطول مستوى التحكم لدينا والذي يخدم واجهات برمجة تطبيقات AWS Glue لجميع إصدارات Glue المدعومة.
تنشئ AWS Glue بيئة Spark جديدةً معزولةً على مستوى الشبكة والإدارة عن جميع بيئات Spark الأخرى داخل حساب خدمة AWS Glue. يتم تنفيذ مهام ETL في بيئة تخدم مثيلاً واحدًا. إذا قامت مهام ETL بتحميل إصدار معين من Apache Log4j، يُنصح بتحديث برامجك النصية لاستخدام أحدث إصدار من Apache Log4j. إذا كنت تستخدم نقاط نهاية تطوير AWS Glue لتأليف البرامج النصية، يُنصح بتحديث إصدار Log4j الذي تستخدمه هناك.
تطبّق AWS Glue كذلك التحديثات بشكل استباقي على بيئة Spark الجديدة بجميع المناطق المدعومة. إذا كانت لديك أسئلة أو ترغب في الحصول على مساعدة إضافية، يرجى الاتصال بنا من خلال AWS Support.
RDS
يعالج كل من Amazon RDS وAmazon Aurora بشكلٍ فعالٍ جميع استخدامات خدمة Log4j2 من خلال تطبيق التحديثات. محركات قاعدة البيانات العلائقية المبنية على RDS لا تتضمن مكتبة Apache Log4j. عندما يتم إشراك موردين رئيسيين، فإننا نطبق التخفيف الموصى به لهم. قد يلاحظ العملاء أحداثًا متقطعة أثناء تحديث المكونات الداخلية.
OpenSearch
تنشر خدمة Amazon OpenSearch تحديثًا لبرنامج الخدمة، الإصدار R20211203-P2، والذي يتضمن إصدارًا مُحدّثًا من Log4j2. سنخطر العملاء فور توفر التحديث في مناطقهم، وسنحدِّث هذه النشرة بمجرد توفره في جميع أنحاء العالم.