初始发布日期:2021 年 12 月 10 日下午 7:20(太平洋夏令时)

关于此问题的所有更新已移至此处

AWS 注意到最近披露的与开源 Apache “Log4j2” 实用工具相关的安全问题(CVE-2021-44228)。我们正在积极监控此问题,并正努力为任何使用 Log4j2 或在其服务中为客户提供了 Log4j2 的 AWS 服务解决该问题。

我们强烈建议管理包含 Log4j2 的环境的客户更新至最新版本(可从以下网址获取:https://logging.apache.org/log4j/2.x/download.html),或使用其操作系统的软件更新机制。以下是其他特定于服务的信息。

如果您需要更多详细信息或帮助,请联系 AWS Support。

Amazon EC2

Amazon Linux 1 和 Amazon Linux 2 存储库中提供的 Log4j 版本不受 CVE-2021-44228 影响。 有关 Amazon Linux 的安全相关软件更新的更多信息,请访问:https://alas.aws.amazon.com

AWS WAF/Shield

为进一步检测和缓解近期 Log4j 安全问题引发的风险,我们更新了 AWS WAF 服务中的 AWSManagedRulesKnownBadInputsRuleSet AMR。CloudFront、Application Load Balancer(ALB)、API Gateway 和 AppSync 的客户可以立即利用此缓解选项,该选项会创建 AWS WAF Web ACL,为您的 Web ACL 添加 AWSManagedRulesKnownBadInputsRuleSet,然后将 Web ACL 与您的 CloudFront 分发版、ALB、API Gateway 或 AppSync GraphQL API 关联,从而检查 URI、请求体和常用标头,提供额外防御。

有关如何使用 AWS WAF 的更多信息,请访问:https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html

有关如何启用 AMR 的其他文档,请访问:https://docs.aws.amazon.com/waf/latest/developerguide/waf-using-managed-rule-groups.html

请注意,WAF Classic 中不提供 AMR,因此请升级到 AWS WAF(wafv2)以利用此缓解选项。

Amazon OpenSearch

我们正在更新所有 Amazon OpenSearch Service 域,以使用可解决该问题的“Log4j2”版本。在更新流程期间,您可能会发现您的域上存在间歇性活动。

AWS Lambda

AWS Lambda 的托管式运行时或基础容器映像中不包含 Log4j2。因此,它们不受 CVE-2021-44228 中描述的问题影响。如果客户在其函数中使用了 aws-lambda-java-log4j2(https://repo1.maven.org/maven2/com/amazonaws/aws-lambda-java-log4j2/)库,则需要更新到版本 1.3.0 并重新部署。

AWS CloudHSM

低于 3.4.1 的 CloudHSM JCE SDK 版本中集成了受此问题影响的 Apache Log4j 版本。2021 年 12 月 10 日,CloudHSM 发布了集成 Apache Log4j 固定版本的 JCE SDK v3.4.1。如果您使用低于 3.4.1 的 CloudHSM JCE 版本,可能会受到影响,应该将 CloudHSM JCE SDK 升级至版本 3.4.1 或更高版本 [1] 来缓解该问题。
[1] https://docs.aws.amazon.com/cloudhsm/latest/userguide/java-library-install.html