Erstveröffentlichung: 19.04.2022 14:30 PST
CVE-IDs: CVE-2021-3100, CVE-2021-3101, CVE-2022-0070, CVE-2022-0071
Am 12. Dezember 2021 veröffentlichte Amazon einen Hotpatch für laufende Java VMs, der das Laden der Java Naming and Directory Interface (JNDI)-Klasse deaktiviert. Dieser Hotpatch bietet eine sofortige Entschärfung kritischer Probleme im Open-Source-Apache-Dienstprogramm „Log4j2“ (CVE-2021-44228 und CVE-2021-45046) und ermöglicht es Systemadministratoren, die betroffenen Umgebungen vollständig zu patchen. Sicherheitsforscher meldeten kürzlich Probleme mit diesem Hotpatch und den zugehörigen OCI-Hooks für Bottlerocket („Hotdog“). Wir haben diese Probleme in einer neuen Version des Hotpatchs und in einer neuen Version von Hotdog behoben. Wir empfehlen Kunden, die Java-Anwendungen in Containern ausführen und entweder den Hotpatch oder Hotdog verwenden, unverzüglich auf die neuesten Versionen der Software zu aktualisieren. Die neuesten Paketnamen und Versionen des Hotpatchs für Amazon Linux und Amazon Linux 2 lauten wie folgt:
- Amazon Linux: log4j-cve-2021-44228-hotpatch-1.1-16.amzn1
- Amazon Linux 2: log4j-cve-2021-44228-hotpatch-1.1-16.amzn2
Kunden, die den Hotpatch für Apache Log4j auf Amazon Linux verwenden, können auf die neueste Hotpatch-Version aktualisieren, indem sie den folgenden Befehl ausführen: sudo yum update. Der Hotpatch erwartet eine Umgebung, die die neuesten Linux-Kernel-Updates enthält. Kunden sollten also bei der Aktualisierung der Version des verwendeten Hotpatchs keine der verfügbaren Kernel-Updates überspringen. Weitere Informationen erhalten Sie im Amazon-Linux-Sicherheitszentrum https://alas.aws.amazon.com/.
Kunden, die Bottlerocket mit der aktivierten Funktion Hotpatch für Apache Log4j verwenden, sollten auf die neueste Version von Bottlerocket aktualisieren, die die aktuellste Version von Hotdog enthält.
Wir möchten uns bei Palo Alto Networks für die Meldung dieser Probleme bedanken.
Bei Fragen zur Sicherheit oder diesbezüglichen Bedenken schreiben Sie uns an: aws-security@amazon.com.