Erstes Veröffentlichungsdatum: 10.12.2021 07:20 PDT
Alle Updates zu diesem Thema wurden hierher verschoben.
AWS ist sich des kürzlich bekannt gewordenen Sicherheitsproblems im Zusammenhang mit dem Open-Source-Apache-Dienstprogramm „Log4j2“ (CVE-2021-44228) bewusst. Wir beobachten dieses Problem aktiv und arbeiten daran, es für alle AWS-Services zu beheben, die entweder Log4j2 verwenden oder es als Teil ihres Service für Kunden bereitstellen.
Wir empfehlen Kunden, die Umgebungen mit Log4j2 verwalten, nachdrücklich, auf die neueste Version zu aktualisieren, verfügbar unter: https://logging.apache.org/log4j/2.x/download.html oder den Software-Update-Mechanismus ihres Betriebssystems. Weitere servicespezifische Informationen finden Sie unten.
Wenn Sie weitere Details oder Hilfe benötigen, wenden Sie sich bitte an den AWS Support.
Amazon EC2
Die Versionen von Log4j, die in den Repositorys von Amazon Linux 1 und Amazon Linux 2 verfügbar sind, sind von CVE-2021-44228 nicht betroffen. Weitere Informationen zu sicherheitsrelevanten Software-Updates für Amazon Linux finden Sie unter: https://alas.aws.amazon.com.
AWS WAF / Shield
Um die Erkennung und Minderung von Risiken, die sich aus dem jüngsten Log4j-Sicherheitsproblem ergeben, zu verbessern, haben wir AWSManagedRulesKnownBadInputsRuleSet AMR im AWS-WAF-Service aktualisiert. Kunden von CloudFront, Application Load Balancer (ALB), API Gateway und AppSync können sofort von dieser Risikominderungsoption profitieren, die URI, Anforderungstext und häufig verwendete Header überprüft, um eine zusätzliche Verteidigungsebene hinzuzufügen, indem sie eine AWS WAF-Web-ACL erstellen, das AWSManagedRulesKnownBadInputsRuleSet zu Ihrer Web-ACL hinzufügen und dann die Web-ACL mit Ihrer CloudFront-Verteilung, ALB, API Gateway oder AppSync-GraphQL-APIs verknüpfen.
Weitere Informationen zu den ersten Schritten mit AWS WAF finden Sie hier: https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html
Weitere Dokumentation zum Aktivieren von AMRs finden Sie hier: https://docs.aws.amazon.com/waf/latest/developerguide/waf-using-managed-rule-groups.html
Bitte beachten Sie, dass AMRs in WAF Classic nicht verfügbar sind. Führen Sie daher ein Upgrade auf AWS WAF (wafv2) durch, um diese Risikominderungsoption zu nutzen.
Amazon OpenSearch
Wir aktualisieren alle Amazon-OpenSearch-Service-Domänen, um eine Version von „Log4j2“ zu verwenden, die das Problem behebt. Während des Aktualisierungsprozesses können Sie zeitweise Aktivitäten auf Ihren Domänen beobachten.
AWS Lambda
AWS Lambda schließt Log4j2 nicht in seine verwalteten Laufzeiten oder Basiscontainer-Images ein. Diese sind daher nicht von dem in CVE-2021-44228 beschriebenen Problem betroffen. Kunden, die die Bibliothek aws-lambda-java-log4j2 (https://repo1.maven.org/maven2/com/amazonaws/aws-lambda-java-log4j2/) in ihren Funktionen verwenden, müssen auf Version 1.3.0 aktualisieren und erneut bereitstellen.
AWS CloudHSM
CloudHSM-JCE-SDK-Versionen vor 3.4.1 enthalten eine von diesem Problem betroffene Version von Apache Log4j. Am 10. Dezember 2021 hat CloudHSM das JCE SDK v3.4.1 mit einer festen Version von Apache Log4j veröffentlicht. Wenn Sie CloudHSM-JCE-Versionen vor 3.4.1 verwenden, sind Sie möglicherweise betroffen und sollten Abhilfe schaffen, indem Sie das CloudHSM-JCE-SDK auf Version 3.4.1 oder höher aktualisieren [1].
[1] https://docs.aws.amazon.com/cloudhsm/latest/userguide/java-library-install.html