AWS sind die kürzlich bekannt gewordenen Probleme im Zusammenhang mit dem Open-Source-Apache-Dienstprogramm „Log4j2“ (CVE-2021-44228 und CVE-2021-45046) bekannt.
Die Reaktion auf Sicherheitsprobleme wie diese zeigt den Wert von mehreren Ebenen defensiver Technologien, die für die Aufrechterhaltung der Sicherheit der Daten und Workloads unserer Kunden so wichtig sind.
Wir haben dieses Problem sehr ernst genommen und unser erstklassiges Ingenieurteam hat den von Amazon entwickelten Java-Hotpatch, der hier verfügbar ist, vollständig für alle AWS-Services bereitgestellt. Der Hotpatch aktualisiert die Java VM, um das Laden der Java Naming and Directory Interface (JNDI)-Klasse zu deaktivieren, und ersetzt sie durch eine harmlose Benachrichtigungsnachricht, die CVE-2021-44228 und CVE-2021-45046 mildert. Wir werden in Kürze die Bereitstellung der aktualisierten Log4j-Bibliothek für alle unsere Services abschließen. Weitere Informationen zum Java-Hotpatch finden Sie unter https://aws.amazon.com/blogs/security/open-source-hotpatch-for-apache-log4j-vulnerability/.
Selbst wenn dieser Hotpatch bereitgestellt wird, sollten Kunden so schnell wie möglich eine aktualisierte Log4j-Bibliothek bereitstellen, wie wir es in AWS tun.
Weitere Informationen zum Erkennen und Beheben von Log4j-CVEs mithilfe von AWS-Services finden Sie in unserem neuesten Blogbeitrag hier.
Nach diesem letzten Bulletin sind keine weiteren servicespezifischen Updates erforderlich.
Wenn Sie weitere Details oder Hilfe benötigen, wenden Sie sich bitte an den AWS Support.
Amazon Connect
Amazon Connect wurde aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
Wir empfehlen Kunden, Komponenten ihrer Umgebung zu evaluieren, die sich außerhalb der Amazon-Connect-Servicegrenzen befinden (wie Lambda-Funktionen, die aus Gesprächsabläufen aufgerufen werden), die möglicherweise eine separate/zusätzliche Risikominderung durch den Kunden erfordern.
Amazon Chime
Die Amazon-Chime-SDK-Services wurden aktualisiert, um die in CVE-2021-44228 und CVE-2021-45046 identifizierten Probleme zu beheben.
Die Amazon-Chime-Services wurden aktualisiert, um die in CVE-2021-44228 und CVE-2021-45046 identifizierten Probleme zu beheben.
Amazon EMR
CVE-2021-44228 wirkt sich auf Apache-Log4j-Versionen zwischen 2.0 und 2.14.1 aus, wenn Eingaben aus nicht vertrauenswürdigen Quellen verarbeitet werden. EMR-Cluster, die mit den Versionen EMR 5 und EMR 6 gestartet wurden, umfassen Open-Source-Frameworks wie Apache Hive, Apache Flink, HUDI, Presto und Trino, die diese Versionen von Apache Log4j verwenden. Wenn Sie einen Cluster mit der Standardkonfiguration von EMR starten, verarbeitet er keine Eingaben von nicht vertrauenswürdigen Quellen. Viele Kunden verwenden die auf ihren EMR-Clustern installierten Open-Source-Frameworks, um Eingaben aus nicht vertrauenswürdigen Quellen zu verarbeiten und zu protokollieren. Daher empfiehlt AWS, die hier beschriebene Lösung anzuwenden.
Amazon Fraud Detector
Amazon Fraud Detector wurde aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
Amazon Kendra
Amazon Kendra wurde aktualisiert, um CVE-2021-44228 zu mildern.
Amazon Lex
Amazon Lex wurde aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu beheben.
Amazon Lookout for Equipment
Amazon Lookout for Equipment wurde aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu beheben.
Amazon Macie
Amazon-Macie-Services wurden aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
Amazon Macie Classic
Der Amazon-Macie-Classic-Service wurde aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu beheben.
Amazon Monitron
Amazon Monitron wurde aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
Amazon RDS
Amazon RDS und Amazon Aurora wurden aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
Amazon Rekognition
Amazon-Rekognition-Services wurden aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
Amazon VPC
Amazon VPC, einschließlich Internet-Gateway- und Virtual-Gateway-Services, wurde aktualisiert, um das in CVE-2021-44228 beschriebene Log4j-Problem zu mildern.
AWS AppSync
AWS AppSync wurde aktualisiert, um die in CVE-2021-44228 und CVE-2021-45046 identifizierten Probleme zu mildern.
AWS Certificate Manager
AWS-Certificate-Manager-Services wurden aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
ACM-Private-CA-Services wurden aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
AWS Service Catalog
AWS Service Catalog wurde aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
AWS Systems Manager
Der AWS-Systems-Manager-Service wurde aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern. Der Systems Manager Agent selbst ist von diesem Problem nicht betroffen.
AWS sind die kürzlich bekannt gewordenen Probleme im Zusammenhang mit dem Open-Source-Apache-Dienstprogramm „Log4j2“ (CVE-2021-44228 und CVE-2021-45046) bekannt.
Die Reaktion auf Sicherheitsprobleme wie diese zeigt den Wert von mehreren Ebenen defensiver Technologien, die für die Aufrechterhaltung der Sicherheit der Daten und Workloads unserer Kunden so wichtig sind. Wir nehmen dieses Problem sehr ernst und unser erstklassiges Ingenieurteam hat rund um die Uhr an unserer Reaktion und Behebung gearbeitet. Wir gehen davon aus, dass wir unseren vollständigen Verteidigungszustand in der Tiefe schnell wiederherstellen werden.
Eine der Technologien, die wir innerhalb von AWS entwickelt und umfassend bereitgestellt haben, ist ein Hotpatch für Anwendungen, die Log4j enthalten können. Dieser Hotpatch aktualisiert die Java VM, um das Laden der Java Naming and Directory Interface (JNDI)-Klasse zu deaktivieren und sie durch eine harmlose Benachrichtigungsnachricht zu ersetzen, die eine wirksame Minderung von CVE-2021-44228 und CVE-2021-45046 darstellt.
Wir haben dies auch als Open-Source-Lösung zur Verfügung gestellt, die hier verfügbar ist.
Auch wenn dieser Hotpatch bereitgestellt wird, sollten Kunden so schnell wie möglich eine aktualisierte Log4j-Bibliothek bereitstellen.
Weitere Informationen zum Erkennen und Beheben von Log4j-CVEs mithilfe von AWS-Services finden Sie in unserem neuesten Blogbeitrag hier.
Weitere servicespezifische Informationen finden Sie weiter unten. Wenn Sie weitere Details oder Hilfe benötigen, wenden Sie sich bitte an den AWS Support.
Amazon EKS, Amazon ECS und AWS Fargate
Um die Auswirkungen des Open-Source-Apache-Dienstprogramms „Log4j2“ (CVE-2021-44228 und CVE-2021-45046) auf die Container der Kunden zu mildern, stellen Amazon EKS, Amazon ECS und AWS Fargate ein Linux-basiertes Update (Hotpatch) bereit. Dieser Hotpatch erfordert die Zustimmung des Kunden zur Verwendung und deaktiviert JNDI-Lookups aus der Log4J2-Bibliothek in den Containern der Kunden. Diese Updates sind als Amazon-Linux-Paket für Amazon-ECS-Kunden, als DaemonSet für Kubernetes-Benutzer auf AWS und in unterstützten AWS-Fargate-Plattformversionen verfügbar.
Kunden, die Java-basierte Anwendungen auf Windows-Containern ausführen, wird empfohlen, den Anweisungen von Microsoft hier zu folgen.
Amazon ECR Public und Amazon ECR
Images im Besitz von Amazon, die unter einem verifizierten Konto bei Amazon ECR Public veröffentlicht werden, sind von dem in CVE-2021-4422 beschriebenen Problem nicht betroffen. Für kundeneigene Images auf Amazon ECR bietet AWS Enhanced Scanning mit Amazon Inspector an, mit dem Container-Images kontinuierlich auf bekannte Sicherheitsprobleme gescannt werden, einschließlich Container-Images, die CVE-2021-44228 enthalten. Die Ergebnisse werden in den Inspector- und ECR-Konsolen gemeldet. Inspector umfasst eine kostenlose 15-tägige Testversion mit kostenlosem Scannen von Container-Images für Konten, die neu bei Inspector sind. Für Kunden, die Bilder in ECR Public von Drittanbietern verwenden, können Kunden die kürzlich eingeführte Pull-Through-Cache-Funktion von ECR verwenden, um diese Bilder aus ECR Public in ihre ECR-Registrierung zu kopieren und Inspector-Scanning zum Erkennen von Sicherheitsproblemen zu verwenden.
Amazon Cognito
Amazon-Cognito-Services wurden aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
Amazon Pinpoint
Amazon-Pinpoint-Services wurden aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
Amazon EventBridge
Amazon EventBridge wurde aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu beheben.
Elastic Load Balancing
Die Elastic-Load-Balancing-Services wurden aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern. Alle Elastic Load Balancer sowie Classic, Application, Network und Gateway wurden nicht in Java geschrieben und waren daher von diesem Problem nicht betroffen.
AWS CodePipeline
AWS CodePipeline wurde aktualisiert, um die in CVE-2021-44228 und CVE-2021-45046 identifizierten Probleme zu mildern.
AWS CodeBuild
AWS CodeBuild wurde aktualisiert, um die in CVE-2021-44228 und CVE-2021-45046 identifizierten Probleme zu mildern.
Amazon Route 53
Amazon Route 53 wurde aktualisiert, um die in CVE-53 identifizierten Probleme zu mildern.
Amazon Linux
Amazon Linux 1 (AL1) und Amazon Linux 2 (AL2) verwenden standardmäßig eine log4j-Version, die nicht von CVE-2021-44228 oder CVE-2021-45046 betroffen ist. Eine neue Version des Amazon-Kinesis-Agenten, die Teil von AL2 ist, richtet sich an CVE-2021-44228 und CVE-2021-45046. Um Kunden zu helfen, die ihren eigenen log4j-Code einbringen, hat Amazon Linux außerdem ein neues Paket veröffentlicht, das den Hotpatch für Apache log4j enthält. Weitere Details finden Sie hier.
Amazon SageMaker
Amazon SageMaker hat das Patchen für das Apache-Log4j2-Problem (CVE-2021-44228) am 15. Dezember 2021 abgeschlossen.
Wir empfehlen unseren Kunden weiterhin, Maßnahmen zu ergreifen, um alle ihre Anwendungen und Services zu aktualisieren, indem sie bekannte Probleme wie dieses patchen. Kunden, denen empfohlen wurde, Maßnahmen zu diesem Problem zu ergreifen, erhielten über PHD detaillierte Anweisungen. Auch wenn Sie nicht von dem Log4j-Problem betroffen sind, empfehlen wir Ihnen, Ihren Auftrag neu zu starten oder Ihre App zu aktualisieren, um die neueste Version unserer Software zu verwenden.
Amazon Athena
Amazon Athena wurde aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern. Alle an Kunden verkauften Versionen des Amazon-Athena-JDBC-Treibers waren von diesem Problem nicht betroffen.
AWS Certificate Manager
AWS-Certificate-Manager-Services wurden aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
ACM-Private-CA-Services wurden aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
Amazon AppFlow
Amazon AppFlow wurde aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
Amazon Polly
Amazon Polly wurde aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu beheben.
Amazon QuickSight
Amazon QuickSight wurde aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
AWS Textract
AWS-Textract-Services wurden aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
Amazon Corretto
Das neueste Amazon Corretto, das am 19. Oktober veröffentlicht wurde, ist von CVE-2021-44228 nicht betroffen, da die Corretto-Verteilung Log4j nicht enthält. Wir empfehlen Kunden, in allen ihren Anwendungen, die sie verwenden, auf die neueste Version von Log4j zu aktualisieren, einschließlich direkter Abhängigkeiten, indirekter Abhängigkeiten und schattierter Jars.
AWS ist sich des kürzlich bekannt gewordenen Sicherheitsproblems im Zusammenhang mit dem Open-Source-Apache-Dienstprogramm „Log4j2“ (CVE-2021-44228) bewusst.
Die Reaktion auf Sicherheitsprobleme wie diese zeigt den Wert von mehreren Ebenen defensiver Technologien, die für die Aufrechterhaltung der Sicherheit der Daten und Workloads unserer Kunden so wichtig sind. Wir nehmen dieses Problem sehr ernst und unser erstklassiges Ingenieurteam hat rund um die Uhr an unserer Reaktion und Behebung gearbeitet. Wir gehen davon aus, dass wir unseren vollständigen Verteidigungszustand in der Tiefe schnell wiederherstellen werden.
Eine der Technologien, die wir entwickelt und bereitgestellt haben, ist ein Hotpatch für Anwendungen, die Log4j enthalten können. Wir haben dies auch als Open-Source-Lösung zur Verfügung gestellt, die hier verfügbar ist.
Selbst wenn dieser Hotpatch bereitgestellt wird, sollten Kunden immer noch planen, eine aktualisierte Log4j-Bibliothek so schnell wie möglich bereitzustellen.
Weitere servicespezifische Informationen finden Sie weiter unten. Wenn Sie weitere Details oder Hilfe benötigen, wenden Sie sich bitte an den AWS Support.
Amazon Kinesis
Eine neue Version des Kinesis-Agenten, die das kürzlich bekannt gegebene Problem mit der Apache-Log4j2-Bibliothek (CVE-2021-44228) behebt, ist hier verfügbar.
Amazon Inspector
Der Amazon-Inspector-Service wird gegen das Log4j-Problem gepatcht.
Der Inspector-Service hilft bei der Erkennung von CVE-2021-44228 (Log4Shell)-Problemen in EC2-Workloads und ECR-Images von Kunden. Erkennungen sind derzeit für betroffene Pakete auf Betriebssystemebene unter Linux verfügbar. Dazu gehören unter anderem apache-log4j2 und liblog4j2-java für Debian; log4j, log4jmanual und log4j12 für SUSE; und Elasticsearch für Alpine, Centos, Debian, Red Hat, SUSE und Ubuntu. Zusätzliche Erkennungen werden hinzugefügt, wenn weitere Auswirkungen von den jeweiligen Verteilungssicherheitsteams identifiziert werden. Inspector zerlegt Java-Archive, die in ECR-Images gespeichert sind und generiert Ergebnisse für betroffene Pakete oder Anwendungen. Diese Ergebnisse werden in der Inspector-Konsole unter „CVE-2021-44228“ oder „IN1-JAVA-ORGAPACHELOGGINGLOG4J-2314720 - org.apache.logging.log4j:log4j-core“ identifiziert.
Amazon Inspector Classic
Der Amazon-Inspector-Service wird gegen das Log4j-Problem gepatcht.
Der Inspector-Classic-Service hilft bei der Erkennung von CVE-2021-44228 (Log4Shell)-Problemen in EC2-Workloads von Kunden. Erkennungen für CVE-2021-44228 (Log4Shell) sind derzeit für betroffene Pakete auf Betriebssystemebene unter Linux verfügbar. Dazu gehören unter anderem apache-log4j2 und liblog4j2-java für Debian; log4j, log4jmanual und log4j12 für SUSE; und Elasticsearch für Alpine, Centos, Debian, Red Hat, SUSE und Ubuntu.
Amazon WorkSpaces/AppStream 2.0
Amazon WorkSpaces und AppStream 2.0 sind von CVE-2021-44228 mit Standardkonfigurationen nicht betroffen. Die standardmäßigen Amazon-Linux-2-Images von WorkSpaces und AppStream enthalten kein Log4j und die Versionen von Log4j, die in den Amazon-Linux-2-Standardpaket-Repositorys verfügbar sind, sind von CVE-2021-44228 nicht betroffen. Wenn Sie jedoch den WorkDocs-Sync-Client für Windows WorkSpaces bereitgestellt haben, führen Sie die unten empfohlenen Maßnahmen aus.
In Windows WorkSpaces ist WorkDocs Sync standardmäßig nicht installiert. WorkSpaces verfügte jedoch vor Juni 2021 über eine standardmäßige Desktop-Verknüpfung zum WorkDocs-Sync-Client-Installationsprogramm. Die WorkDocs-Sync-Clientversion 1.2.895.1 (und älter) enthält die Log4j-Komponente. Wenn Sie die alten WorkDocs-Sync-Client-Versionen in WorkSpaces bereitgestellt haben, starten Sie den Sync-Client auf WorkSpaces über Verwaltungstools wie SCCM neu oder weisen Sie Ihre WorkSpaces-Benutzer an, den Sync-Client – „Amazon WorkDocs“ manuell aus der Liste der installierten Programme zu öffnen. Beim Start wird der Sync-Client automatisch auf die neueste Version 1.2.905.1 aktualisiert, die nicht von CVE-2021-44228 betroffen ist. Die Anwendungen Workdocs Drive und Workdocs Companion sind von dem Problem nicht betroffen.
Amazon Timestream
Amazon Timestream wurde aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu beheben.
Amazon DocumentDB
Am 13. Dezember 2021 wurde Amazon DocumentDB gepatcht, um das in CVE-2021-44228 referenzierte Log4j-Problem zu mildern.
Amazon CloudWatch
Amazon-CloudWatch-Services wurden aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
AWS Secrets Manager
AWS Secrets Manager wurde aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu beheben.
Amazon Single Sign-On
Amazon-Single-Sign-On-Services wurden aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
Amazon RDS Oracle
Amazon RDS Oracle hat die im Service verwendete Version von Log4j2 aktualisiert. Der Zugriff auf RDS-Instances wird weiterhin durch Ihre VPCs und andere Sicherheitskontrollen wie Sicherheitsgruppen und Netzwerk-Zugriffskontrollliste (ACL) eingeschränkt. Wir empfehlen Ihnen dringend, diese Einstellungen zu überprüfen, um eine ordnungsgemäße Zugriffsverwaltung auf Ihre RDS-Instances sicherzustellen.
Laut Oracle-Support-Dokument 2827611.1 ist die Oracle-Datenbank selbst von diesem Problem nicht betroffen.
Amazon Cloud Directory
Amazon Cloud Directory wurde aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
Amazon Simple Queue Service (SQS)
Amazon Simple Queue Service (SQS) hat das Patching für das Apache-Log4j2-Problem (CVE-2021-44228) für den ein- und ausgehenden Datenverkehr von SQS am 13. Dezember 2021 abgeschlossen. Wir haben auch das Patchen aller anderen SQS-Systeme abgeschlossen, die Log4j2 verwendet haben.
AWS KMS
AWS KMS wurde aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
Amazon Redshift
Amazon-Redshift-Cluster wurden automatisch aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
AWS Lambda
AWS Lambda schließt Log4j2 nicht in seine verwalteten Laufzeiten oder Basiscontainer-Images ein. Diese sind daher nicht von dem in CVE-2021-44228 und CVE-2021-45046 beschriebenen Problem betroffen.
Für Fälle, in denen eine Kundenfunktion eine betroffene Log4j2-Version enthält, haben wir eine Änderung an den von Lambda Java verwalteten Laufzeiten und Basiscontainer-Images (Java 8, Java 8 auf AL2 und Java 11) vorgenommen, die dazu beiträgt, die Probleme in CVE-2021-44228 und CVE-2021-45046 zu mildern. Bei Kunden, die verwaltete Laufzeiten verwenden, wird die Änderung automatisch angewendet. Kunden, die Container-Images verwenden, müssen vom neuesten Basiscontainer-Image neu erstellen und erneut bereitstellen.
Unabhängig von dieser Änderung empfehlen wir allen Kunden, deren Funktionen Log4j2 umfassen, dringend, auf die neueste Version zu aktualisieren. Insbesondere Kunden, die die Bibliothek aws-lambda-java-log4j2 in ihren Funktionen verwenden, sollten auf Version 1.4.0 aktualisieren und ihre Funktionen erneut bereitstellen. Diese Version aktualisiert die zugrunde liegenden Abhängigkeiten des Log4j2-Dienstprogramms auf Version 2.16.0. Die aktualisierte Binärdatei aws-lambda-java-log4j2 ist im Maven-Repository verfügbar und ihr Quellcode ist in Github verfügbar.
AWS ist sich des kürzlich bekannt gewordenen Sicherheitsproblems im Zusammenhang mit dem Open-Source-Apache-Dienstprogramm „Log4j2“ (CVE-2021-44228) bewusst.
Die Reaktion auf Sicherheitsprobleme wie diese zeigt den Wert von mehreren Ebenen defensiver Technologien, die für die Aufrechterhaltung der Sicherheit der Daten und Workloads unserer Kunden so wichtig sind. Wir nehmen dieses Problem sehr ernst und unser erstklassiges Ingenieurteam hat rund um die Uhr an unserer Reaktion und Behebung gearbeitet. Wir gehen davon aus, dass wir unseren vollständigen Verteidigungszustand in der Tiefe schnell wiederherstellen werden.
Wir empfehlen unseren Kunden weiterhin, Maßnahmen zu ergreifen, um alle ihre Anwendungen und Services zu aktualisieren, indem sie bekannte Probleme wie dieses patchen und weiterhin unseren gut durchdachten Leitlinien folgen.
Weitere servicespezifische Informationen finden Sie weiter unten. Wenn Sie weitere Details oder Hilfe benötigen, wenden Sie sich bitte an den AWS Support.
Amazon API Gateway
Ab dem 13. Dezember 2021 wurden alle Amazon-API-Gateway-Hosts gepatcht, um das Log4j-Problem, auf das in CVE-2021-44228 verwiesen wird, zu mildern.
Amazon CloudFront
Amazon-CloudFront-Services wurden aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern. Die in unseren POPs ausgeführten CloudFront-Anforderungsbearbeitungsservices sind nicht in Java geschrieben und waren daher von diesem Problem nicht betroffen.
Amazon Connect
Amazon-Connect-Services wurden aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
Amazon DynamoDB
Amazon DynamoDB und Amazon DynamoDB Accelerator (DAX) wurden aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
Amazon EC2
Die Versionen von Log4j, die in den Repositorys von Amazon Linux 1 und Amazon Linux 2 verfügbar sind, sind von CVE-2021-44228 nicht betroffen. Weitere Informationen zu sicherheitsrelevanten Software-Updates für Amazon Linux finden Sie im Sicherheitszentrum von Amazon Linux.
Amazon ElastiCache
Die Redis-Engine von Amazon ElastiCache enthält Log4j2 nicht in ihren verwalteten Laufzeiten oder Basiscontainer-Images. Amazon ElastiCache hat das Patchen des Apache-Log4j2-Problems (CVE-2021-44228) am 12. Dezember 2021 abgeschlossen.
Amazon EMR
CVE-2021-44228 wirkt sich auf Apache-Log4j-Versionen zwischen 2.0 und 2.14.1 aus, wenn Eingaben aus nicht vertrauenswürdigen Quellen verarbeitet werden. EMR-Cluster, die mit den Versionen EMR 5 und EMR 6 gestartet wurden, umfassen Open-Source-Frameworks wie Apache Hive, Apache Flink, HUDI, Presto und Trino, die diese Versionen von Apache Log4j verwenden. Wenn Sie einen Cluster mit der Standardkonfiguration von EMR starten, verarbeitet er keine Eingaben von nicht vertrauenswürdigen Quellen.
Wir arbeiten aktiv an der Erstellung eines Updates, das das in CVE-2021-44228 besprochene Problem mindert, wenn auf Ihrem EMR-Cluster installierte Open-Source-Frameworks Informationen aus nicht vertrauenswürdigen Quellen verarbeiten.
AWS IoT SiteWise Edge
Updates für alle Komponenten von AWS IoT SiteWise Edge, die Log4j verwenden, wurden am 13.12.2021 für die Bereitstellung bereitgestellt. Diese Komponenten sind: OPC-UA Collector (v2.0.3), Datenverarbeitungspaket (v2.0.14) und Publisher (v2.0.2). AWS empfiehlt Kunden, die diese Komponenten verwenden, die neuesten Versionen auf ihren SiteWise-Edge-Gateways bereitzustellen.
Amazon Keyspaces (für Apache Cassandra)
Amazon Keyspaces (für Apache Cassandra) wurde aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
Amazon Kinesis Data Analytics
Die von Amazon Kinesis Data Analytics unterstützten Versionen von Apache Flink umfassen Apache-Log4j-Versionen zwischen 2.0 und 2.14.1. Kinesis-Data-Analytics-Anwendungen arbeiten in isolierten Umgebungen mit einem Single Tenant und können nicht miteinander interagieren.
Wir aktualisieren die Version von Log4j, die für Kundenanwendungen von Kinesis Data Analytics in allen AWS-Regionen verfügbar ist. Anwendungen, die nach 18:30 Uhr PST am 12.12.2021 gestartet oder aktualisiert werden, erhalten automatisch den aktualisierten Patch. Kunden, deren Anwendungen zuvor gestartet oder aktualisiert wurden, können sicherstellen, dass ihre Anwendungen auf der aktualisierten Version von Log4j ausgeführt werden, indem sie die UpdateApplication-API von Kinesis Data Analytics aufrufen. Weitere Informationen zur UpdateApplication-API finden Sie in der Dokumentation des Services.
Amazon Kinesis Data Streams
Wir patchen aktiv alle Subsysteme, die Log4j2 verwenden, indem wir Updates anwenden. Die Kinesis Client Library (KCL) Version 2.X und die Kinesis Producer Library (KPL) sind nicht betroffen. Für Kunden, die KCL 1.x verwenden, haben wir eine aktualisierte Version veröffentlicht und empfehlen dringend, dass alle Kunden der KCL-Version 1.x auf die hier verfügbare KCL-Version 1.14.5 (oder höher) aktualisieren.
Amazon Managed Streaming for Apache Kafka (MSK)
Wir sind uns des kürzlich gemeldeten Problems (CVE-2021-44228) in Bezug auf die Apache-Log4j2-Bibliothek bewusst und führen bei Bedarf Updates durch. Bitte beachten Sie, dass die in MSK angebotenen Builds von Apache Kafka und Apache Zookeeper derzeit Log4j 1.2.17 verwenden, das von diesem Problem nicht betroffen ist. Einige MSK-spezifische Servicekomponenten verwenden die Bibliothek Log4j > 2.0.0 und werden bei Bedarf gepatcht.
Amazon Managed Workflows for Apache Airflow (MWAA)
MWAA hat in Bezug auf das kürzlich veröffentlichte Problem (CVE-2021-44228) in Bezug auf die Apache-Log4j2-Bibliothek zwei Bereiche zu berücksichtigen: Amazon-MWAA-Servicecode (AWS-spezifisch) und Open-Source-Code (Apache Airflow).
Am 14. Dezember 2021 haben wir alle erforderlichen Aktualisierungen des MWAA-Servicecodes abgeschlossen, um das Problem zu beheben. Apache Airflow verwendet Log4j2 nicht und ist von diesem Problem nicht betroffen.
Wir empfehlen Kunden, die Log4j2 zu ihren Umgebungen hinzugefügt haben, dringend, auf die neueste Version zu aktualisieren.
Amazon MemoryDB für Redis
Amazon MemoryDB for Redis hat das Patchen des Apache Log4j2-Problems (CVE-2021-44228) am 12. Dezember 2021 abgeschlossen.
Amazon MQ
Amazon MQ hat in Bezug auf das kürzlich veröffentlichte Problem (CVE-2021-44228) in Bezug auf die Apache-Log4j2-Bibliothek zwei Bereiche zu berücksichtigen: Amazon-MQ-Servicecode (AWS-spezifisch) und Open-Source-Code (Apache-ActiveMQ- und RabbitMQ-Nachrichtenbroker).
Am 13. Dezember 2021 haben wir alle erforderlichen Aktualisierungen des Amazon-MQ-Servicecodes abgeschlossen, um das Problem zu beheben.
Für die Open-Source-Nachrichtenbroker sind keine Aktualisierungen erforderlich. Alle in Amazon MQ angebotenen Versionen von Apache ActiveMQ verwenden die Log4j-Version 1.2.x, die von diesem Problem nicht betroffen ist. RabbitMQ verwendet kein Log4j und ist von diesem Problem nicht betroffen.
Amazon Neptune
Alle aktiven Amazon-Neptune-Cluster wurden automatisch aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
Amazon OpenSearch Service
Amazon OpenSearch Service hat ein wichtiges Service-Software-Update R20211203-P2 veröffentlicht, das eine aktualisierte Version von Log4j2 in allen Regionen enthält. Wir empfehlen Kunden dringend, ihre OpenSearch-Cluster so schnell wie möglich auf diese Version zu aktualisieren.
Amazon RDS
Amazon RDS und Amazon Aurora gehen aktiv die gesamte Service-Nutzung von Log4j2 durch die Anwendung von Updates an. RDS-erstellte relationale Datenbank-Engines enthalten nicht die Apache-Log4j2-Bibliothek. Wenn Upstream-Anbieter beteiligt sind, wenden wir deren empfohlene Schutzmaßnahmen an. Kunden können während der Aktualisierung interner Komponenten intermittierende Ereignisse beobachten.
Amazon S3
Amazon S3 hat das Patching für das Apache-Log4j2-Problem (CVE-2021-44228) für den Dateneingang und -Ausgang von S3 am 11. Dezember 2021 abgeschlossen. Wir haben auch das Patchen aller anderen S3-Systeme abgeschlossen, die Log4j2 verwendet haben.
Amazon Simple Notification Service (SNS)
Amazon-SNS-Systeme, die Kundendatenverkehr bedienen, werden gegen das Log4j2-Problem gepatcht. Amazon-SNS-Systeme, die Kundendatenverkehr beherrschen, werden gegen das Log4j2-Problem gepatcht.
Amazon Simple Workflow Service (SWF)
Amazon Simple Workflow Service (SWF) wurde aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu beheben.
AWS CloudHSM
AWS-CloudHSM-JCE-SDK-Versionen vor 3.4.1 enthalten eine von diesem Problem betroffene Version von Apache Log4j. Am 10. Dezember 2021 hat CloudHSM das JCE SDK v3.4.1 mit einer festen Version von Apache Log4j veröffentlicht. Wenn Sie CloudHSM-JCE-Versionen vor 3.4.1 verwenden, sind Sie möglicherweise betroffen und sollten das Problem durch ein Upgrade des CloudHSM-JCE-SDK auf Version 3.4.1 oder höher beheben.
AWS Elastic Beanstalk
AWS Elastic Beanstalk installiert Log4j aus den Standardpaket-Repositorys von Amazon Linux in seinen Tomcat-Plattformen für Amazon Linux 1 und Amazon Linux 2. Die Versionen von Log4j, die in den Repositorys von Amazon Linux 1 und Amazon Linux 2 verfügbar sind, sind von CVE-2021-44228 nicht betroffen.
Wenn Sie Konfigurationsänderungen an der Verwendung von Log4j durch Ihre Anwendung vorgenommen haben, empfehlen wir Ihnen, den Code Ihrer Anwendung zu aktualisieren, um dieses Problem zu beheben.
Wenn gepatchte Versionen dieser Standardpaket-Repository-Versionen veröffentlicht werden, wird Elastic Beanstalk gemäß unserer üblichen Vorgehensweise die gepatchte Version in die nächste Version der Tomcat-Plattformversion für Amazon Linux 1 und Amazon Linux 2 aufnehmen.
Weitere Informationen zu sicherheitsrelevanten Software-Updates für Amazon Linux finden Sie im Sicherheitszentrum von Amazon Linux.
AWS Glue
AWS Glue ist sich des kürzlich bekannt gewordenen Sicherheitsproblems im Zusammenhang mit dem Open-Source-Apache-Dienstprogramm „Log4j2“ (CVE-2021-44228) bewusst. Wir haben unsere Steuerebenenflotte aktualisiert, die AWS-Glue-APIs für alle unterstützten Glue-Versionen bereitstellt.
AWS Glue erstellt eine neue Spark-Umgebung, die auf Netzwerk- und Verwaltungsebene von allen anderen Spark-Umgebungen innerhalb des AWS-Glue-Service-Kontos isoliert ist. Ihre ETL-Aufträge werden in einer Umgebung mit einem einzigen Mandanten ausgeführt. Wenn Sie eine benutzerdefinierte JAR-Datei zur Verwendung in Ihren ETL-Aufträgen oder Entwicklungsendpunkten hochgeladen haben, die eine bestimmte Version von Apache Log4j enthält, sollten Sie Ihre JAR-Datei aktualisieren, um die neueste Version von Apache Log4j zu verwenden.
AWS Glue wendet die Updates auch proaktiv auf die neue Spark-Umgebung in allen unterstützten Regionen an. Wenn Sie Fragen haben oder zusätzliche Hilfe benötigen, kontaktieren Sie bitte den AWS Support.
AWS Greengrass
Updates für alle AWS-Greengrass-V2-Komponenten, die Log4j verwenden, sind ab dem 10.12.2021 zur Bereitstellung verfügbar. Diese Komponenten sind: Stream Manager (2.0.14) und Secure Tunneling (1.0.6). AWS empfiehlt Kunden, die diese Greengrass-Komponenten verwenden, die neuesten Versionen auf ihren Geräten bereitzustellen.
Die Stream-Manager-Funktion der Greengrass-Versionen 1.10.x und 1.11.x verwendet Log4j. Ein Update für die Stream-Manager-Funktion ist in den Greengrass-Patchversionen 1.10.5 und 1.11.5 enthalten, die beide ab 12.12.2021 verfügbar sind. Wir empfehlen dringend, dass Kunden der Versionen 1.10.x und 1.11.x, die Stream Manager auf ihren Geräten aktiviert haben (oder in Zukunft aktivieren könnten), ihre Geräte auf die neuesten Versionen aktualisieren.
AWS Lake Formation
AWS-Lake-Formation-Servicehosts werden auf die neueste Version von Log4j aktualisiert, um das Problem mit den in CVE-2021-44228 referenzierten Versionen zu beheben.
AWS Lambda
AWS Lambda schließt Log4j2 nicht in seine verwalteten Laufzeiten oder Basiscontainer-Images ein. Diese sind daher nicht von dem in CVE-2021-44228 beschriebenen Problem betroffen. Kunden, die die aws-lambda-java-log4j2-Bibliothek in ihren Funktionen verwenden, müssen auf Version 1.3.0 aktualisieren und erneut bereitstellen.
AWS SDK
Das AWS SDK für Java verwendet eine Protokollierungsfassade und hat keine Laufzeitabhängigkeit von Log4j. Wir glauben derzeit, dass bezüglich dieses Problems keine Änderungen am AWS SDK für Java vorgenommen werden müssen.
AWS Step Functions
AWS Step Functions wurde aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
AWS-Firewall für Webanwendungen (FWA)
Um die Erkennung und Abwehr des jüngsten Log4j-Sicherheitsproblems zu verbessern, können Kunden von CloudFront, Application Load Balancer (ALB), API Gateway und AppSync optional AWS WAF aktivieren und zwei AWS Managed Rules (AMR) anwenden: AWSManagedRulesKnownBadInputsRuleSet und AWSManagedRulesAnonymousIpList.
AWSManagedRulesKnownBadInputsRuleSet überprüft Anforderungs-URI, Hauptteil und häufig verwendete Header, während AWSManagedRulesAnonymousIpList hilft, Anforderungen von Services zu blockieren, die die Verschleierung der Betrachteridentität ermöglichen. Sie können diese Regeln anwenden, indem Sie eine AWS-WAF-Web-ACL erstellen, einen oder beide Regelsätze zu Ihrer Web-ACL hinzufügen und dann die Web-ACL mit Ihrer CloudFront-Verteilung, Ihrem ALB, API Gateway oder Ihren AppSync-GraphQL-APIs verknüpfen.
Wir wiederholen die AWSManagedRulesKnownBadInputsRuleSet-Regelgruppe weiterhin, während wir mehr erfahren. Um automatische Updates für AWSManagedRulesKnownBadInputsRuleSet zu erhalten, wählen Sie bitte die Standardversion. Für Kunden, die AWS WAF Classic verwenden, müssen Sie zu AWS WAF migrieren oder benutzerdefinierte Regex-Übereinstimmungsbedingungen erstellen. Kunden können AWS Firewall Manager verwenden, mit dem Sie AWS-WAF-Regeln für mehrere AWS-Konten und -Ressourcen von einem einzigen Ort aus konfigurieren können. Sie können Regeln gruppieren, Richtlinien aufstellen und diese zentral für Ihre gesamte Infrastruktur anwenden.
NICE
Aufgrund einer CVE in der Apache-Log4j-Bibliothek, die in EnginFrame von Version 2020.0 bis 2021.0-r1307 enthalten ist, empfiehlt NICE, auf die neueste EnginFrame-Version zu aktualisieren oder die Log4j-Bibliothek in Ihrer EnginFrame-Installation gemäß den Anweisungen auf der Support-Website zu aktualisieren.
Sie können uns gerne kontaktieren.
AWS ist sich des kürzlich bekannt gewordenen Sicherheitsproblems im Zusammenhang mit dem Open-Source-Apache-Dienstprogramm „Log4j2“ (CVE-2021-44228) bewusst. Wir überwachen dieses Problem aktiv und arbeiten daran, es für alle AWS-Services zu beheben, die entweder Log4j2 verwenden oder es als Teil ihres Service für Kunden bereitstellen.
Wir empfehlen Kunden, die Umgebungen mit Log4j2 verwalten, nachdrücklich, auf die neueste Version oder den Software-Update-Mechanismus ihres Betriebssystems zu aktualisieren. Weitere servicespezifische Informationen finden Sie unten.
Wenn Sie weitere Details oder Hilfe benötigen, wenden Sie sich bitte an den AWS Support.
S3
S3 hat das Patching für das Apache-Log4j2-Problem (CVE-2021-44228) für den Dateneingang und -Ausgang von S3 am 11. Dezember 2021 abgeschlossen. Wir haben auch das Patchen aller anderen S3-Systeme abgeschlossen, die Log4j2 verwendet haben.
Amazon OpenSearch
Amazon OpenSearch Service stellt ein Service-Software-Update, Version R20211203-P2, bereit, das eine aktualisierte Version von Log4j2 enthält. Wir benachrichtigen Kunden, sobald das Update in ihren Regionen verfügbar ist und aktualisieren dieses Bulletin, sobald es weltweit verfügbar ist.
AWS Lambda
AWS Lambda schließt Log4j2 nicht in seine verwalteten Laufzeiten oder Basiscontainer-Images ein. Diese sind daher nicht von dem in CVE-2021-44228 beschriebenen Problem betroffen. Kunden, die die aws-lambda-java-log4j2-Bibliothek in ihren Funktionen verwenden, müssen auf Version 1.3.0 aktualisieren und erneut bereitstellen.
AWS CloudHSM
CloudHSM-JCE-SDK-Versionen vor 3.4.1 enthalten eine von diesem Problem betroffene Version von Apache Log4j. Am 10. Dezember 2021 hat CloudHSM das JCE SDK v3.4.1 mit einer festen Version von Apache Log4j veröffentlicht. Wenn Sie CloudHSM-JCE-Versionen vor 3.4.1 verwenden, sind Sie möglicherweise betroffen und sollten das Problem durch ein Upgrade des CloudHSM-JCE-SDK auf Version 3.4.1 oder höher beheben.
Amazon EC2
Die Versionen von Log4j, die in den Repositorys von Amazon Linux 1 und Amazon Linux 2 verfügbar sind, sind von CVE-2021-44228 nicht betroffen. Weitere Informationen zu sicherheitsrelevanten Software-Updates für Amazon Linux finden Sie im Sicherheitszentrum von Amazon Linux.
API Gateway
Wir aktualisieren API Gateway, damit es eine Version von Log4j2 verwendet, die das Problem mindert. Während dieser Updates können Sie bei einigen APIs periodische Latenzerhöhungen beobachten.
AWS Greengrass
Updates für alle Greengrass-V2-Komponenten, die Log4j verwenden, sind ab dem 10.12.2021 zur Bereitstellung verfügbar. Diese Komponenten sind: Stream Manager (2.0.14) und Secure Tunneling (1.0.6). AWS empfiehlt Kunden, die diese Greengrass-Komponenten verwenden, die neuesten Versionen auf ihren Geräten bereitzustellen.
Die Stream-Manager-Funktion der Greengrass-Versionen 1.10.x und 1.11.x verwendet Log4j. Ein Update für die Stream-Manager-Funktion ist in den Greengrass-Patchversionen 1.10.5 und 1.11.5 enthalten, die beide ab 12.12.2021 verfügbar sind. Wir empfehlen dringend, dass Kunden der Versionen 1.10.x und 1.11.x, die Stream Manager auf ihren Geräten aktiviert haben (oder in Zukunft aktivieren könnten), ihre Geräte auf die neuesten Versionen aktualisieren.
CloudFront
CloudFront-Services wurden aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern. Die in unseren POPs ausgeführten CloudFront-Anforderungsbearbeitungsservices sind nicht in Java geschrieben und waren daher von diesem Problem nicht betroffen.
Elastic BeanStalk
AWS Elastic Beanstalk installiert Log4j aus den Standardpaket-Repositorys von Amazon Linux in seinen Tomcat-Plattformen für Amazon Linux 1 und Amazon Linux 2. Die Versionen von Log4j, die in den Repositorys von Amazon Linux 1 und Amazon Linux 2 verfügbar sind, sind von CVE-2021-44228 nicht betroffen.
Wenn Sie Konfigurationsänderungen an der Verwendung von Log4j durch Ihre Anwendung vorgenommen haben, empfehlen wir Ihnen, den Code Ihrer Anwendung zu aktualisieren, um dieses Problem zu beheben.
Wenn gepatchte Versionen dieser Standardpaket-Repository-Versionen veröffentlicht werden, wird Elastic Beanstalk gemäß unserer üblichen Vorgehensweise die gepatchte Version in die nächste Version der Tomcat-Plattformversion für Amazon Linux 1 und Amazon Linux 2 aufnehmen.
Weitere Informationen zu sicherheitsrelevanten Software-Updates für Amazon Linux finden Sie im Sicherheitszentrum von Amazon Linux.
EMR
CVE-2021-44228 wirkt sich auf Apache-Log4j-Versionen zwischen 2.0 und 2.14.1 aus, wenn Eingaben aus nicht vertrauenswürdigen Quellen verarbeitet werden. EMR-Cluster, die mit den Versionen EMR 5 und EMR 6 gestartet wurden, umfassen Open-Source-Frameworks wie Apache Hive, Flink, HUDI, Presto und Trino, die diese Versionen von Apache Log4j verwenden. Wenn Sie einen Cluster mit der Standardkonfiguration von EMR starten, verarbeitet er keine Eingaben von nicht vertrauenswürdigen Quellen.
Wir arbeiten aktiv an der Erstellung eines Updates, das das in CVE-2021-44228 besprochene Problem mindert, wenn auf Ihrem EMR-Cluster installierte Open-Source-Frameworks Informationen aus nicht vertrauenswürdigen Quellen verarbeiten.
Lake Formation
Lake Formation-Servicehosts werden proaktiv auf die neueste Version von Log4j aktualisiert, um das Sicherheitsproblem mit den in CVE-2021-44228 referenzierten Versionen zu beheben.
AWS SDK
Das AWS SDK für Java verwendet eine Protokollierungsfassade und hat keine Laufzeitabhängigkeit von log4j. Wir glauben derzeit, dass bezüglich dieses Problems keine Änderungen am AWS SDK für Java vorgenommen werden müssen.
AMS
Wir überwachen dieses Problem aktiv und arbeiten daran, es für alle AMS-Services zu beheben, die Log4j2 verwenden. Wir empfehlen Kunden, die Umgebungen mit Log4j2 verwalten, nachdrücklich, auf die neueste Version oder den Software-Update-Mechanismus ihres Betriebssystems zu aktualisieren.
Amazon Neptune
Amazon Neptune enthält die Apache-Log4j2-Bibliothek als Peripheriekomponente, aber es wird nicht angenommen, dass sich das Problem auf Neptune-Benutzer auswirkt. Aus Vorsicht werden Neptune-Cluster automatisch aktualisiert, um eine Version von Log4j2 zu verwenden, die das Problem behebt. Kunden können während der Aktualisierung intermittierende Ereignisse beobachten.
NICE
Aufgrund einer CVE in der Apache-Log4j-Bibliothek, die in EnginFrame von Version 2020.0 bis 2021.0-r1307 enthalten ist, empfiehlt NICE, auf die neueste EnginFrame-Version zu aktualisieren oder die Log4j-Bibliothek in Ihrer EnginFrame-Installation gemäß den Anweisungen auf der Support-Website zu aktualisieren.
Sie können uns gerne kontaktieren.
Kafka
Managed Streaming for Apache Kafka ist sich des kürzlich gemeldeten Problems (CVE-2021-44228) in Bezug auf die Apache-Log4j2-Bibliothek bewusst und führt bei Bedarf Updates durch. Bitte beachten Sie, dass die in MSK angebotenen Builds von Apache Kafka und Apache Zookeeper derzeit log4j 1.2.17 verwenden, das von diesem Problem nicht betroffen ist. Einige MSK-spezifische Servicekomponenten verwenden die Bibliothek log4j > 2.0.0 und werden bei Bedarf gepatcht.
AWS Glue
AWS Glue ist sich des kürzlich bekannt gewordenen Sicherheitsproblems im Zusammenhang mit dem Open-Source-Apache-Dienstprogramm „Log4j2“ (CVE-2021-44228) bewusst. Wir haben unsere Steuerebenenflotte aktualisiert, die AWS-Glue-APIs für alle unterstützten Glue-Versionen bereitstellt.
AWS Glue erstellt eine neue Spark-Umgebung, die auf Netzwerk- und Verwaltungsebene von allen anderen Spark-Umgebungen innerhalb des AWS-Glue-Service-Kontos isoliert ist. Ihre ETL-Aufträge werden in einer Umgebung mit einem einzigen Mandanten ausgeführt. Wenn Ihre ETL-Aufträge eine bestimmte Version von Apache Log4j laden, sollten Sie Ihre Skripte aktualisieren, um die neueste Version von Apache Log4j zu verwenden. Wenn Sie AWS-Glue-Entwicklungsendpunkte verwenden, um Ihre Skripts zu erstellen, wird empfohlen, auch die dort verwendete Log4j-Version zu aktualisieren.
AWS Glue wendet die Updates auch proaktiv auf die neue Spark-Umgebung in allen unterstützten Regionen an. Wenn Sie Fragen haben oder zusätzliche Hilfe benötigen, kontaktieren Sie uns bitte über den AWS Support.
RDS
Amazon RDS und Amazon Aurora gehen aktiv die gesamte Service-Nutzung von Log4j2 durch die Anwendung von Updates an. RDS-erstellte relationale Datenbank-Engines enthalten nicht die Apache-Log4j-Bibliothek. Wenn Upstream-Anbieter beteiligt sind, wenden wir deren empfohlene Schutzmaßnahmen an. Kunden können während der Aktualisierung interner Komponenten intermittierende Ereignisse beobachten.
Amazon Connect
Amazon-Connect-Services wurden aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
Amazon DynamoDB
Amazon DynamoDB und Amazon DynamoDB Accelerator (DAX) wurden aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mindern.
Amazon Keyspaces (für Apache Cassandra)
Amazon Keyspaces (für Apache Cassandra) wurde aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern.
Amazon MQ
Amazon MQ hat in Bezug auf das kürzlich veröffentlichte Problem (CVE-2021-44228) in Bezug auf die Apache-Log4j2-Bibliothek zwei Bereiche zu berücksichtigen: Amazon-MQ-Servicecode (AWS-spezifisch) und Open-Source-Code (Apache-ActiveMQ- und RabbitMQ-Nachrichtenbroker).
Am 13. Dezember 2021 haben wir alle erforderlichen Aktualisierungen des Amazon-MQ-Servicecodes abgeschlossen, um das Problem zu beheben.
Für die Open-Source-Nachrichtenbroker sind keine Aktualisierungen erforderlich. Alle in Amazon MQ angebotenen Versionen von Apache ActiveMQ verwenden die Log4j-Version 1.2.x, die von diesem Problem nicht betroffen ist. RabbitMQ verwendet kein Log4j und ist von diesem Problem nicht betroffen.
Kinesis Data Analytics
Die von Kinesis Data Analytics unterstützten Versionen von Apache Flink umfassen Apache-Log4j-Versionen zwischen 2.0 und 2.14.1. Kinesis-Data-Analytics-Anwendungen arbeiten in isolierten Umgebungen mit einem Single Tenant und können nicht miteinander interagieren.
Wir aktualisieren die Version von Log4j, die für Kundenanwendungen von Kinesis Data Analytics in allen AWS-Regionen verfügbar ist. Anwendungen, die nach 18:30 Uhr PST am 12.12.2021 gestartet oder aktualisiert werden, erhalten automatisch den aktualisierten Patch. Kunden, deren Anwendungen zuvor gestartet oder aktualisiert wurden, können sicherstellen, dass ihre Anwendungen auf der aktualisierten Version von Log4j ausgeführt werden, indem sie die UpdateApplication-API von Kinesis Data Analytics aufrufen. Weitere Informationen zur UpdateApplication-API finden Sie hier.
AWS ist sich des kürzlich bekannt gewordenen Sicherheitsproblems im Zusammenhang mit dem Open-Source-Apache-Dienstprogramm „Log4j2“ (CVE-2021-44228) bewusst. Wir überwachen dieses Problem aktiv und arbeiten daran, es für alle AWS-Services zu beheben, die entweder Log4j2 verwenden oder es als Teil ihres Service für Kunden bereitstellen.
Wir empfehlen Kunden, die Umgebungen mit Log4j2 verwalten, nachdrücklich, auf die neueste Version oder den Software-Update-Mechanismus ihres Betriebssystems zu aktualisieren.
Es wurde berichtet, dass die Verwendung von Log4j2 auf JDKs nach 8u121 oder 8u191 (einschließlich JDK 11 und höher) das Problem abschwächt, aber dies ist nur eine teilweise Abschwächung. Die einzige umfassende Lösung besteht darin, Log4j2 auf 2.15 zu aktualisieren, und Log4j2-Versionen älter als 2.15 sollten unabhängig von der verwendeten JDK-Verteilung oder -Version als betroffen betrachtet werden.
Weitere servicespezifische Informationen finden Sie unten.
Wenn Sie weitere Details oder Hilfe benötigen, wenden Sie sich bitte an den AWS Support.
API Gateway
Wir aktualisieren API Gateway, damit es eine Version von Log4j2 verwendet, die das Problem mindert. Während dieser Updates können Sie bei einigen APIs periodische Latenzerhöhungen beobachten.
AWS Greengrass
Updates für alle Greengrass-V2-Komponenten, die Apache Log4j2 verwenden, sind seit dem 10.12.2021 für die Bereitstellung verfügbar. Diese Komponenten sind: Stream Manager (2.0.14) und Secure Tunneling (1.0.6). AWS empfiehlt Kunden, die diese Greengrass-Komponenten verwenden, die neuesten Versionen auf ihren Geräten bereitzustellen.
Updates für die Greengrass-Versionen 1.10 und 1.11 werden voraussichtlich bis zum 17.12.2021 verfügbar sein. Kunden, die Stream Manager auf diesen Geräten verwenden, wird empfohlen, ihre Geräte zu aktualisieren, sobald die Greengrass-Binärdateien für diese Versionen verfügbar sind. In der Zwischenzeit sollten Kunden überprüfen, ob ihr benutzerdefinierter Lambda-Code mit Stream Manager auf Greengrass 1.10 oder 1.11 keine beliebigen Streamnamen und Dateinamen (für den S3-Exporter) außerhalb der Kontrolle des Kunden verwendet, z. B. einen Streamnamen oder Dateinamen mit dem Text „${“.
Amazon MQ
Amazon MQ hat in Bezug auf das kürzlich veröffentlichte Problem (CVE-2) in Bezug auf die Apache-Log4j2-Bibliothek 2 Bereiche zu berücksichtigen: Amazon-MQ-Servicecode (AWS-spezifisch) und Open-Source-Code (Apache-ActiveMQ- und RabbitMQ-Nachrichtenbroker).
Wir wenden erforderliche Updates für den Amazon-MQ-Servicecode an, um das Problem zu beheben.
Für die Open-Source-Nachrichtenbroker sind keine Aktualisierungen erforderlich. Alle in Amazon MQ angebotenen Versionen von Apache ActiveMQ verwenden die Log4j-Version 1.x, die von diesem Problem nicht betroffen ist. RabbitMQ verwendet kein Log4j2 und ist von diesem Problem nicht betroffen.
CloudFront
CloudFront-Services wurden aktualisiert, um die in CVE-2021-44228 identifizierten Probleme zu mildern. Die in unseren POPs ausgeführten CloudFront-Anforderungsbearbeitungsservices sind nicht in Java geschrieben und waren daher von diesem Problem nicht betroffen.
AWS Elastic Beanstalk
AWS Elastic Beanstalk installiert Log4j aus den Standardpaket-Repositorys von Amazon Linux in seinen Tomcat-Plattformen für Amazon Linux 1 und Amazon Linux 2. Die Versionen von Log4j, die in den Repositorys von Amazon Linux 1 und Amazon Linux 2 verfügbar sind, sind von CVE-2021-44228 nicht betroffen.
Wenn Sie Konfigurationsänderungen an der Verwendung von Log4j durch Ihre Anwendung vorgenommen haben, empfehlen wir Ihnen, den Code Ihrer Anwendung zu aktualisieren, um dieses Problem zu beheben.
Wenn gepatchte Versionen dieser Standardpaket-Repository-Versionen veröffentlicht werden, wird Elastic Beanstalk gemäß unserer üblichen Vorgehensweise die gepatchte Version in die nächste Version der Tomcat-Plattformversion für Amazon Linux 1 und Amazon Linux 2 aufnehmen.
Weitere Informationen zu sicherheitsrelevanten Software-Updates für Amazon Linux finden Sie im Sicherheitszentrum von Amazon Linux.
EMR
CVE-2021-44228 wirkt sich auf Apache-Log4j-Versionen zwischen 2.0 und 2.14.1 aus, wenn Eingaben aus nicht vertrauenswürdigen Quellen verarbeitet werden. EMR-Cluster, die mit den Versionen EMR 5 und EMR 6 gestartet wurden, umfassen Open-Source-Frameworks wie Apache Hive, Flink, HUDI, Presto und Trino, die diese Versionen von Apache Log4j verwenden. Wenn Sie einen Cluster mit der Standardkonfiguration von EMR starten, verarbeitet er keine Eingaben von nicht vertrauenswürdigen Quellen.
Wir arbeiten aktiv an der Erstellung eines Updates, das das in CVE-2021-44228 besprochene Problem mindert, wenn auf Ihrem EMR-Cluster installierte Open-Source-Frameworks Informationen aus nicht vertrauenswürdigen Quellen verarbeiten.
Lake Formation
Lake Formation-Servicehosts werden proaktiv auf die neueste Version von Log4j aktualisiert, um das Problem mit den in CVE-2021-44228 referenzierten Versionen zu beheben.
S3
Der Dateneingang und -Ausgang von S3 wird gegen das Log4j2-Problem gepatcht. Wir arbeiten daran, den Log4j2-Patch auf die S3-Systeme anzuwenden, die getrennt vom Dateneingang und -Ausgang von S3 betrieben werden.
AWS SDK
Das AWS SDK für Java verwendet eine Protokollierungsfassade und hat keine Laufzeitabhängigkeit von Log4j. Wir glauben derzeit, dass bezüglich dieses Problems keine Änderungen am AWS SDK für Java vorgenommen werden müssen.
AMS
Wir überwachen dieses Problem aktiv und arbeiten daran, es für alle AMS-Services zu beheben, die Log4j2 verwenden. Wir empfehlen Kunden, die Umgebungen mit Log4j2 verwalten, nachdrücklich, auf die neueste Version oder den Software-Update-Mechanismus ihres Betriebssystems zu aktualisieren.
AMS empfiehlt die Bereitstellung einer Webanwendungs-Firewall (WAF) für alle über das Internet zugänglichen Anwendungsendpunkte. Der AWS-WAF-Service kann so konfiguriert werden, dass er eine zusätzliche Verteidigungsebene gegen dieses Problem bietet, indem der Regelsatz AWSManagedRulesAnonymousIpList (der Regeln zum Blockieren von Quellen enthält, die bekannt sind, um Clientinformationen zu anonymisieren, wie TOR-Knoten) und AWSManagedRulesKnownBadInputsRuleSet (der URI, Anforderungstext und häufig verwendete Header prüft, um Anfragen im Zusammenhang mit Log4j und anderen Problemen zu blockieren).
AMS wird dieses Problem weiterhin überwachen und zusätzliche Details und Empfehlungen bereitstellen, sobald diese verfügbar sind.
Amazon Neptune
Amazon Neptune enthält die Apache-Log4j2-Bibliothek als Peripheriekomponente, aber es wird nicht angenommen, dass sich das Problem auf Neptune-Benutzer auswirkt. Aus Vorsicht werden Neptune-Cluster automatisch aktualisiert, um eine Version von Log4j2 zu verwenden, die das Problem behebt. Kunden können während der Aktualisierung intermittierende Ereignisse beobachten.
NICE
Aufgrund einer CVE in der Apache-Log4j-Bibliothek, die in EnginFrame von Version 2020.0 bis 2021.0-r1307 enthalten ist, empfiehlt NICE, auf die neueste EnginFrame-Version zu aktualisieren oder die Log4j-Bibliothek in Ihrer EnginFrame-Installation gemäß den Anweisungen auf der Support-Website zu aktualisieren.
Sie können uns gerne kontaktieren.
Kafka
Managed Streaming for Apache Kafka ist sich des kürzlich gemeldeten Problems (CVE-2021-44228) in Bezug auf die Apache-Log4j2-Bibliothek bewusst und führt bei Bedarf Updates durch. Bitte beachten Sie, dass die in MSK angebotenen Builds von Apache Kafka und Apache Zookeeper derzeit Log4j 1.2.17 verwenden, das von diesem Problem nicht betroffen ist. Einige MSK-spezifische Servicekomponenten verwenden die Bibliothek Log4j > 2.0.0 und werden bei Bedarf gepatcht.
AWS Glue
AWS Glue ist sich des kürzlich bekannt gewordenen Sicherheitsproblems im Zusammenhang mit dem Open-Source-Apache-Dienstprogramm „Log4j2“ (CVE-2021-44228) bewusst. Wir haben unsere Steuerebenenflotte aktualisiert, die AWS-Glue-APIs für alle unterstützten Glue-Versionen bereitstellt.
AWS Glue erstellt eine neue Spark-Umgebung, die auf Netzwerk- und Verwaltungsebene von allen anderen Spark-Umgebungen innerhalb des AWS-Glue-Service-Kontos isoliert ist. Ihre ETL-Aufträge werden in einer Umgebung mit einem einzigen Mandanten ausgeführt. Wenn Ihre ETL-Aufträge eine bestimmte Version von Apache Log4j laden, sollten Sie Ihre Skripte aktualisieren, um die neueste Version von Apache Log4j zu verwenden. Wenn Sie AWS-Glue-Entwicklungsendpunkte verwenden, um Ihre Skripts zu erstellen, wird Ihnen empfohlen, auch die dort verwendete Log4j-Version zu aktualisieren.
AWS Glue wendet die Updates auch proaktiv auf die neue Spark-Umgebung in allen unterstützten Regionen an. Wenn Sie Fragen haben oder zusätzliche Hilfe benötigen, kontaktieren Sie uns bitte über den AWS Support.
RDS
Amazon RDS und Amazon Aurora gehen aktiv die gesamte Service-Nutzung von Log4j2 durch die Anwendung von Updates an. RDS-erstellte relationale Datenbank-Engines enthalten nicht die Apache-Log4j-Bibliothek. Wenn Upstream-Anbieter beteiligt sind, wenden wir deren empfohlene Schutzmaßnahmen an. Kunden können während der Aktualisierung interner Komponenten intermittierende Ereignisse beobachten.
OpenSearch
Amazon OpenSearch Service stellt ein Service-Software-Update, Version R20211203-P2, bereit, das eine aktualisierte Version von Log4j2 enthält. Wir benachrichtigen Kunden, sobald das Update in ihren Regionen verfügbar ist und aktualisieren dieses Bulletin, sobald es weltweit verfügbar ist.