Fecha de publicación inicial: 10/12/2021 19.20 h PDT

Todas las actualizaciones relacionadas con este problema se han trasladado aquí.

AWS está al tanto del problema de seguridad divulgado recientemente en relación con la utilidad de código abierto “Log4j2” de Apache (CVE-2021-44228). Monitoreamos activamente este problema y trabajamos para abordarlo en todos los servicios de AWS que utilizan Log4j2 o lo proporcionan a los clientes como parte de su servicio.

Recomendamos enfáticamente a los clientes que administran entornos que contienen Log4j2 que realicen la actualización a la última versión, disponible en: https://logging.apache.org/log4j/2.x/download.html o en el mecanismo de actualización de software del sistema operativo. A continuación encontrará información adicional específica para cada servicio.

Si necesita más información o ayuda, póngase en contacto con AWS Support.

Amazon EC2

Las versiones de Log4j disponibles en los repositorios de Amazon Linux 1 y Amazon Linux 2 no se ven afectadas por CVE-2021-44228. Puede obtener más información sobre las actualizaciones de software relacionadas con la seguridad para Amazon Linux en:https://alas.aws.amazon.com.

AWS WAF / Shield

Para mejorar la detección y mitigación de los riesgos derivados del reciente problema de seguridad de Log4j, hemos actualizado la regla administrada por Amazon (AMR) AWSManagedRulesKnownBadInputsRuleSet en el servicio AWS WAF. Los clientes de CloudFront, Application Load Balancer (ALB), API Gateway y AppSync pueden aprovechar inmediatamente esta opción de mitigación, que inspecciona los URI, el cuerpo de la solicitud y los encabezados más utilizados para agregar una capa adicional de defensa, al crear una lista de control de acceso (ACL) web de AWS WAF, agregar AWSManagedRulesKnownBadInputsRuleSet a la ACL web y, posteriormente, asociar la ACL web con la distribución de CloudFront, ALB, API Gateway o las API GraphQL de AppSync.

Más información sobre cómo comenzar a utilizar AWS WAF está disponible aquí: https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html

Aquí encontrará documentación adicional para habilitar las AMR: https://docs.aws.amazon.com/waf/latest/developerguide/waf-using-managed-rule-groups.html

Tenga en cuenta que las AMR no están disponibles en WAF Classic, por lo que debe actualizar a AWS WAF (wafv2) para aprovechar esta opción de mitigación.

Amazon OpenSearch

Estamos en proceso de actualizar todos los dominios de Amazon OpenSearch Service para que utilicen una versión de “Log4j2” que subsane el problema. Es posible que durante el proceso de actualización se produzca una actividad intermitente en los dominios.

AWS Lambda

AWS Lambda no incluye Log4j2 en sus tiempos de ejecución administrados ni en sus imágenes de contenedor base. Por lo tanto, no se ven afectados por el problema descrito en CVE-2021-44228. Los clientes que utilizan la biblioteca aws-lambda-java-log4j2 (https://repo1.maven.org/maven2/com/amazonaws/aws-lambda-java-log4j2/) en las funciones tendrán que actualizar a la versión 1.3.0 y volver a implementar.

AWS CloudHSM

Las versiones del SDK JCE de CloudHSM anteriores a la 3.4.1 incluyen una versión de Apache Log4j afectada por este problema. El 10 de diciembre de 2021, CloudHSM lanzó el SDK JCE v3.4.1 con una versión corregida de Apache Log4j. Si utiliza versiones de JCE de CloudHSM anteriores a la 3.4.1, es posible que se vea afectado y debe solucionar el problema mediante una actualización del SDK de JCE de CloudHSM a la versión 3.4.1 o a una posterior [1].
[1] https://docs.aws.amazon.com/cloudhsm/latest/userguide/java-library-install.html