AWS está al tanto de los problemas divulgados recientemente en relación con la utilidad de código abierto “Log4j2” de Apache (CVE-2021-44228 y CVE-2021-45046).
Responder a problemas de seguridad como este pone de manifiesto la importancia de contar con varias capas de tecnologías defensivas, lo cual es crucial para mantener la seguridad de los datos y cargas de trabajo de nuestros clientes.
Nos hemos tomado este asunto muy en serio, y nuestro equipo de ingenieros de clase mundial ha implementado completamente la revisión en caliente de Java disponible aquí para todos los servicios de AWS. La revisión en caliente actualiza la Java VM para desactivar la carga de la clase Interfaz de Nombrado y Directorio Java (JNDI), y la sustituye por un mensaje de notificación sin riesgo, que mitiga los problemas CVE-2021-44228 y CVE-2021-45046. Completaremos en breve la implementación de la biblioteca Log4j actualizada para todos nuestros servicios. Más información sobre la revisión en caliente de Java disponible en https://aws.amazon.com/blogs/security/open-source-hotpatch-for-apache-log4j-vulnerability/.
Incluso tras implementar esta revisión en caliente, los clientes deben implementar además una biblioteca Log4j actualizada lo antes posible, al igual que estamos haciendo en AWS.
Para obtener más información acerca de cómo detectar y solucionar los CVE de Log4j con servicios de AWS, consulte nuestra publicación de blog más reciente aquí.
No es necesario realizar más actualizaciones específicas de servicios tras este último boletín.
Si necesita más información o ayuda, póngase en contacto con AWS Support.
Amazon Connect
Amazon Connect se ha actualizado para mitigar los problemas identificados en CVE-2021-44228.
Recomendamos a los clientes que evalúen los componentes de su entorno ajenos al límite de servicio de Amazon Connect (como las funciones Lambda llamadas desde flujos de contacto) que pueden requerir mitigación de clientes individual/adicional.
Amazon Chime
Los servicios del SDK de Amazon Chime se han actualizado para mitigar los problemas identificados en CVE-2021-44228 y CVE-2021-45046.
Los servicios de Amazon Chime se han actualizado para mitigar los problemas identificados en CVE-2021-44228 y CVE-2021-45046.
Amazon EMR
CVE-2021-44228 afecta a las versiones de Apache Log4j entre 2.0 y 2.14.1 cuando se procesan entradas de fuentes que no son de confianza. Los clústeres de EMR lanzados con las versiones EMR 5 y EMR 6 incluyen marcos de código abierto, como Apache Hive, Apache Flink, HUDI, Presto y Trino, que utilizan estas versiones de Apache Log4j. Cuando se lanza un clúster con la configuración predeterminada de EMR, este no procesa entradas de fuentes que no son de confianza. Muchos clientes utilizan los marcos de código abierto instalados en sus clústeres de EMR para procesar y registrar entradas desde fuentes que no son de confianza. Por tanto, AWS recomienda que aplique la solución que se describe aquí.
Amazon Fraud Detector
Los servicios de Amazon Fraud Detector se han actualizado para mitigar los problemas identificados en CVE-2021-44228.
Amazon Kendra
Amazon Kendra se ha actualizado para reducir CVE-2021-44228.
Amazon Lex
Amazon Lex se ha actualizado para mitigar los problemas identificados en CVE-2021-44228.
Amazon Lookout for Equipment
Amazon Lookout for Equipment se ha actualizado para mitigar los problemas identificados en CVE-2021-44228.
Amazon Macie
El servicio Amazon Macie se ha actualizado para mitigar los problemas identificados en CVE-2021-44228.
Amazon Macie Classic
El servicio Amazon Macie Classic se ha actualizado para mitigar los problemas identificados en CVE-2021-44228.
Amazon Monitron
Amazon Monitron se ha actualizado para mitigar los problemas identificados en CVE-2021-44228.
Amazon RDS
Amazon RDS y Amazon Aurora se han actualizado para mitigar los problemas identificados en CVE-2021-44228.
Amazon Rekognition
Los servicios de Amazon Rekognition se han actualizado para mitigar los problemas identificados en CVE-2021-44228.
Amazon VPC
Amazon VPC, incluidos los servicios de puerta de enlace de Internet y puerta de enlace virtual, se han actualizado para mitigar el problema Log4j al que se hace referencia en CVE-2021-44228.
AWS AppSync
AWS AppSync se ha actualizado para mitigar los problemas identificados en CVE-2021-44228 y CVE-2021-45046.
AWS Certificate Manager
Los servicios de AWS Certificate Manager se han actualizado para mitigar los problemas identificados en CVE-2021-44228.
Los servicios de ACM Private CA se han actualizado para mitigar los problemas identificados en CVE-2021-44228.
AWS Service Catalog
AWS Service Catalog se ha actualizado para mitigar los problemas identificados en CVE-2021-44228.
AWS Systems Manager
El servicio AWS Systems Manager se ha actualizado para mitigar los problemas identificados en CVE-2021-44228. El propio agente de Systems Manager no se ve afectado por este problema.
AWS está al tanto de los problemas divulgados recientemente en relación con la utilidad de código abierto “Log4j2” de Apache (CVE-2021-44228 y CVE-2021-45046).
Responder a problemas de seguridad como este pone de manifiesto la importancia de contar con varias capas de tecnologías defensivas, lo cual es crucial para mantener la seguridad de los datos y cargas de trabajo de nuestros clientes. Nos tomamos este problema muy en serio, y nuestro equipo de ingenieros de clase mundial ha estado trabajando a contrarreloj para brindar una respuesta y solucionarlo. Esperemos restaurar con rapidez nuestro estado de defensa en profundidad.
Una de las tecnologías que hemos desarrollado e implementando ampliamente dentro de AWS es una revisión en caliente para aplicaciones que pueden incluir Log4j. Esta revisión en caliente actualiza la Java VM para desactivar la carga de la clase Interfaz de Nombrado y Directorio Java (JNDI), y la sustituye por un mensaje de notificación sin riesgo, lo cual supone una mitigación eficaz de los problemas CVE-2021-44228 y CVE-2021-45046.
Además, esta tecnología está disponible como solución de código abierto aquí.
Incluso tras implementar esta revisión en caliente, los clientes deben implementar además una biblioteca Log4j actualizada lo antes posible.
Para obtener más información acerca de cómo detectar y solucionar los CVE de Log4j con servicios de AWS, consulte nuestra publicación de blog más reciente aquí.
A continuación encontrará información adicional específica para cada servicio. Si necesita más información o ayuda, póngase en contacto con AWS Support.
Amazon EKS, Amazon ECS y AWS Fargate
Para ayudar a reducir el impacto de los problemas de seguridad de la utilidad “Log4j2” de Apache de código abierto (CVE-2021-44228 y CVE-2021-45046) en contenedores de clientes, Amazon EKS, Amazon ECS y AWS Fargate, estamos implementando una actualización basada en Linux (revisión en caliente). Esta revisión en caliente requiere que el cliente opte por su uso, y desactiva búsquedas JNDI de la biblioteca de Log4J2 en los contenedores de los clientes. Estas actualizaciones están disponibles como un paquete de Amazon Linux para clientes de Amazon ECS, como un DaemonSet para usuarios de Kubernetes en AWS y, además, será compatible con versiones de la plataforma AWS Fargate.
Se recomienda a los clientes que ejecuten aplicaciones basadas en Java en contenedores de Windows que sigan las instrucciones de Microsoft que se recogen aquí.
Amazon ECR Public y Amazon ECR
Las imágenes propiedad de Amazon publicadas con una cuenta verificada en Amazon ECR Public no están afectadas por el problema que se describe en CVE-2021-4422. Para imágenes propiedad de clientes en Amazon ECR, AWS ofrece Enhanced Scanning (Análisis mejorado) con Amazon Inspector, diseñado para analizar de manera continua imágenes de contenedores en busca de problemas de seguridad conocidos, incluidas las imágenes de contenedores que contienen CVE-2021-44228. Los hallazgos se muestran en las consolas de Inspector y ECR. Inspector incluye una demostración de 15 días gratuita con análisis de imágenes de contenedores gratuitas para cuentas que comienzan a utilizar Inspector. En el caso de clientes que consuman imágenes en ECR Public de publicadores externos, los clientes pueden utilizar la característica Pull Through Cache (Extracción mediante caché) recientemente lanzada de ECR para copiar dichas imágenes de ECR Public a su registro de ECR y utilizar Inspector para analizarlas en busca de problemas de seguridad.
Amazon Cognito
Los servicios de Amazon Cognito se han actualizado para mitigar los problemas identificados en CVE-2021-44228.
Amazon Pinpoint
Los servicios de Amazon Pinpoint se han actualizado para mitigar los problemas identificados en CVE-2021-44228.
Amazon EventBridge
Amazon EventBridge se ha actualizado para mitigar los problemas identificados en CVE-2021-44228.
Elastic Load Balancing
Los servicios de Elastic Load Balancing se han actualizado para mitigar los problemas identificados en CVE-2021-44228. Todos los Elastic Load Balancers, además de los Load Balancers Classic, Application, Network y Gateway, no están escritos en Java y, por consiguiente, no están afectados por este problema.
AWS CodePipeline
AWS CodePipeline se ha actualizado para mitigar los problemas identificados en CVE-2021-44228 y CVE-2021-45046.
AWS CodeBuild
AWS CodeBuild se ha actualizado para mitigar los problemas identificados en CVE-2021-44228 y CVE-2021-45046.
Amazon Route 53
Route 53 se ha actualizado para mitigar los problemas identificados en CVE-2021-44228.
Amazon Linux
Amazon Linux (AL1) y Amazon Linux 2 (AL2) utilizan de manera predeterminada una versión de log4j que no se ve afectada por CVE-2021-44228 o CVE-2021-45046. Una nueva versión del agente de Amazon Kinesis, parte de AL2, aborda CVE-2021-44228 y CVE-2021-45046. Además, para ayudar a los clientes que incorporan su propio código de log4j, Amazon Linux ha publicado un nuevo paquete que incluye la revisión en caliente para Apache log4j. Puede obtener más información aquí.
Amazon SageMaker
Se ha completado la aplicación de revisiones a Amazon SageMaker para el problema de Apache Log4j2 (CVE-2021-44228) el 15 de diciembre de 2021.
Seguimos recomendando que nuestros clientes tomen medidas y actualicen todas sus aplicaciones y servicios mediante la aplicación de revisiones para problemas conocidos como este. Aquellos clientes a los que se recomienda tomar medidas respecto a este problema recibieron instrucciones detalladas mediante PHD. Aunque no esté afectado por el problema Log4j, le recomendamos que reinicie su trabajo o actualice su aplicación para utilizar la versión más reciente de nuestro software.
Amazon Athena
Amazon Athena se ha actualizado para mitigar los problemas identificados en CVE-2021-44228. Ninguna de las versiones del controlador JDBC de Amazon Athena que se han vendido a los clientes está afectada por este problema.
AWS Certificate Manager
Los servicios de AWS Certificate Manager se han actualizado para mitigar los problemas identificados en CVE-2021-44228.
Los servicios de ACM Private CA se han actualizado para mitigar los problemas identificados en CVE-2021-44228.
Amazon AppFlow
Amazon AppFlow se ha actualizado para mitigar los problemas identificados en CVE-2021-44228.
Amazon Polly
Amazon Polly se ha actualizado para mitigar los problemas identificados en CVE-2021-44228.
Amazon QuickSight
Amazon QuickSight se ha actualizado para mitigar los problemas identificados en CVE-2021-44228.
AWS Textract
Los servicios de AWS Textract se han actualizado para mitigar los problemas identificados en CVE-2021-44228.
Amazon Corretto
La última versión de Amazon Corretto, publicada el 19 de octubre, no está afectada por CVE-2021-44228, puesto que la distribución de Corretto no incluye Log4j. Recomendamos a los clientes que actualicen a la versión más reciente de Log4j en todas las aplicaciones que lo utilicen, incluidas dependencias directas, dependencias indirectas y JAR sombreados.
AWS está al tanto del problema de seguridad divulgado recientemente en relación con la utilidad de código abierto “Log4j2” de Apache (CVE-2021-44228).
Responder a problemas de seguridad como este pone de manifiesto la importancia de contar con varias capas de tecnologías defensivas, lo cual es crucial para mantener la seguridad de los datos y cargas de trabajo de nuestros clientes. Nos tomamos este problema muy en serio, y nuestro equipo de ingenieros de clase mundial ha estado trabajando a contrarreloj para brindar una respuesta y solucionarlo. Esperemos restaurar con rapidez nuestro estado de defensa en profundidad.
Una de las tecnologías que hemos desarrollado es una revisión en caliente para aplicaciones que pueden incluir Log4j. Además, esta tecnología está disponible como solución de código abierto aquí.
Incluso tras implementar esta revisión en caliente, los clientes deben seguir pensando en implementar además una biblioteca Log4j actualizada lo antes posible.
A continuación encontrará información adicional específica para cada servicio. Si necesita más información o ayuda, póngase en contacto con AWS Support.
Amazon Kinesis
La nueva versión del agente de Kinesis, que aborda el problema de biblioteca de Apache Log4j2 (CVE-2021-44228), está disponible aquí.
Amazon Inspector
Ya se ha aplicado la revisión al servicio Amazon Inspector contra el problema Log4j.
El servicio Inspector ayuda a detectar problemas CVE-2021-44228 (Log4Shell) en cargas de trabajo de EC2 de clientes e imágenes de ECR. Las detecciones están disponibles en este momento para paquetes de nivel de sistema operativo afectados en Linux. Se incluyen, entre otras, las siguientes detecciones: apache-log4j2 y liblog4j2-java para Debian; log4j, log4jmanual y log4j12 para SUSE; y Elasticsearch para Alpine, Centos, Debian, Red Hat, SUSE y Ubuntu. Se agregarán más adelante detecciones adicionales a medida que los equipos de seguridad de distribución respectivos identifiquen más elementos afectados. Inspector descompone los archivos Java almacenados dentro de imágenes ECR y genera hallazgos para paquetes o aplicaciones afectados. Estos hallazgos se identificarán en la consola de Inspector en “CVE-2021-44228” o “IN1-JAVA-ORGAPACHELOGGINGLOG4J-2314720 - org.apache.logging.log4j:log4j-core”.
Amazon Inspector Classic
Ya se ha aplicado la revisión al servicio Amazon Inspector contra el problema Log4j.
El servicio Inspector Classic ayuda a detectar problemas CVE-2021-44228 (Log4Shell) en cargas de trabajo de EC2 de clientes. Las detecciones para CVE-2021-44228 (Log4Shell) están disponibles en este momento para paquetes de nivel de sistema operativo afectados en Linux. Se incluyen, entre otras, las siguientes detecciones: apache-log4j2 y liblog4j2-java para Debian; log4j, log4jmanual y log4j12 para SUSE; y Elasticsearch para Alpine, Centos, Debian, Red Hat, SUSE y Ubuntu.
Amazon WorkSpaces/AppStream 2.0
Amazon WorkSpaces y AppStream 2.0 no se ven afectados por CVE-2021-44228 con configuraciones predeterminadas. Las imágenes de Amazon Linux 2 predeterminadas de WorkSpaces y AppStream no contienen Log4j, y la versiones de Log4j disponibles en los repositorios de paquetes predeterminados de Amazon Linux 2 no están afectadas por CVE-2021-44228. Sin embargo, si ha implementado el cliente de WorkDocs Sync en Windows WorkSpaces, realice las acciones que se recomiendan a continuación.
De manera predeterminada, WorkDocs Sync no está instalado en Windows WorkSpaces. Sin embargo, WorkSpaces contaba con un atajo de escritorio predeterminado al instalador del cliente de WorkDocs Sync hasta junio de 2021. La versión 1.2.895.1 (y anteriores) del cliente de WorkDocs Sync contenía el componente Log4j. Si ha implementado versiones anteriores del cliente de WorkDocs Sync en WorkSpaces, reinicie el cliente de Sync en WorkSpaces mediante herramientas de administración como SCCM, o instruya a sus usuarios de WorkSpaces para que abran de manera manual el cliente de Sync “Amazon WorkDocs” desde la lista de programas instalados. Durante el lanzamiento, el cliente de Sync se actualizará automáticamente a la versión más reciente (1.2.905.1), que no está afectada por CVE-2021-44228. Las aplicaciones WorkDocs Drive y WorkDocs Companion no están afectadas por este problema.
Amazon Timestream
Amazon Timestream se ha actualizado para mitigar los problemas identificados en CVE-2021-44228.
Amazon DocumentDB
El 13 de diciembre de 2021 se aplicó una revisión a Amazon DocumentDB para mitigar el problema de Log4j al que se hace referencia en CVE-2021-44228.
Amazon CloudWatch
Los servicios de Amazon CloudWatch se han actualizado para mitigar los problemas identificados en CVE-2021-44228.
AWS Secrets Manager
AWS Secrets Manager se ha actualizado para mitigar los problemas identificados en CVE-2021-44228.
Amazon Single Sign-On
Los servicios de Amazon Single Sign-On se han actualizado para mitigar los problemas identificados en CVE-2021-44228.
Amazon RDS Oracle
Amazon RDS Oracle ha actualizado la versión de Log4j2 en uso dentro del servicio. El acceso a instancias de RDS sigue están limitado por sus VPC y otros controles de seguridad como grupos de seguridad y listas de control de acceso (ACL) de red. Le recomendamos encarecidamente que revise estos ajustes para garantizar una administración de acceso correcta a sus instancias de RDS.
Según el documento de soporte 2827611.1 de Oracle, la base de datos de Oracle en sí misma no está afectada por este problema.
Amazon Cloud Directory
Amazon Cloud Directory se ha actualizado para mitigar los problemas identificados en CVE-2021-44228.
Amazon Simple Queue Service (Amazon SQS)
Amazon Simple Queue Service (Amazon SQS) completó la aplicación de revisiones para el problema de Apache Log4j2 (CVE-2021-44228) respecto a la entrada y salida de datos de SQS el 13 de diciembre de 2021. También hemos terminado de aplicar las revisiones a todos los demás sistemas de SQS que utilizaban Log4j2.
AWS KMS
AWS KMS se ha actualizado para mitigar los problemas identificados en CVE-2021-44228.
Amazon Redshift
Los clústeres de Amazon Redshift se han actualizado de manera automática para mitigar los problemas identificados en CVE-2021-44228.
AWS Lambda
AWS Lambda no incluye Log4j2 en sus tiempos de ejecución administrados ni en sus imágenes de contenedor base. Por lo tanto, no se ven afectados por el problema descrito en CVE-2021-44228 y CVE-2021-45046.
Para los casos en los que una función de cliente incluye una versión de Log4j2 afectada, hemos aplicado un cambio a los tiempos de ejecución administrados por Java en Lambda y las imágenes de contenedores base (Java 8, Java 8 en AL2 y Java 11) que ayuda a reducir los problemas en CVE-2021-44228 y CVE-2021-45046. Se aplicará el cambio de manera automática a los clientes que utilicen tiempos de ejecución administrados. Aquellos clientes que utilicen imágenes de contenedores deberán volver a crear desde la imagen de contenedores más reciente e implementar de nuevo.
Independientemente de este cambio, recomendamos encarecidamente a todos los clientes cuyas funciones incluyen Log4j2 que actualicen a la versión más reciente. De manera específica, los clientes que utilizan la biblioteca aws-lambda-java-log4j2 en sus funciones tendrán que actualizar a la versión 1.4.0 y volver a implementar las funciones. Esta versión actualiza las dependencias de la utilidad Log4j2 subyacente a la versión 2.16.0. El binario aws-lambda-java-log4j2 actualizado está disponible en el repositorio de Maven y su código se encuentra disponible en GitHub.
AWS está al tanto del problema de seguridad divulgado recientemente en relación con la utilidad de código abierto “Log4j2” de Apache (CVE-2021-44228).
Responder a problemas de seguridad como este pone de manifiesto la importancia de contar con varias capas de tecnologías defensivas, lo cual es crucial para mantener la seguridad de los datos y cargas de trabajo de nuestros clientes. Nos tomamos este problema muy en serio, y nuestro equipo de ingenieros de clase mundial ha estado trabajando a contrarreloj para brindar una respuesta y solucionarlo. Esperemos restaurar con rapidez nuestro estado de defensa en profundidad.
Seguimos recomendando que nuestros clientes tomen medidas y actualicen todas sus aplicaciones y servicios mediante la aplicación de revisiones para problemas conocidos como este y sigan nuestra orientación para lograr una buena arquitectura.
A continuación encontrará información adicional específica para cada servicio. Si necesita más información o ayuda, póngase en contacto con AWS Support.
Amazon API Gateway
El 13 de diciembre de 2021 se aplicó una revisión a todos los hosts de Amazon API Gateway para mitigar el problema de Log4j al que se hace referencia en CVE-2021-44228.
Amazon CloudFront
Los servicios de Amazon CloudFront se han actualizado para mitigar los problemas identificados en CVE-2021-44228. Los servicios de gestión de solicitudes de CloudFront que se ejecutan en nuestros POP no están escritos en Java y, por lo tanto, no se vieron afectados por este problema.
Amazon Connect
Los servicios de Amazon Connect se han actualizado para mitigar los problemas identificados en CVE-2021-44228.
Amazon DynamoDB
Amazon DynamoDB y Amazon DynamoDB Accelerator (DAX) se han actualizado para mitigar los problemas que se identificaron en CVE-2021-44228.
Amazon EC2
Las versiones de Log4j disponibles en los repositorios de Amazon Linux 1 y Amazon Linux 2 no se ven afectadas por CVE-2021-44228. Puede obtener más información sobre las actualizaciones de software relacionadas con la seguridad para Amazon Linux en el Centro de seguridad de Amazon Linux.
Amazon ElastiCache
El motor de Redis de Amazon ElastiCache no incluye Log4j2 en sus tiempos de ejecución administrados ni en sus imágenes de contenedor base. Se ha completado la aplicación de revisiones a Amazon ElastiCache para el problema de Apache Log4j2 (CVE-2021-44228) el 12 de diciembre de 2021.
Amazon EMR
CVE-2021-44228 afecta a las versiones de Apache Log4j entre 2.0 y 2.14.1 cuando se procesan entradas de fuentes que no son de confianza. Los clústeres de EMR lanzados con las versiones EMR 5 y EMR 6 incluyen marcos de código abierto, como Apache Hive, Apache Flink, HUDI, Presto y Trino, que utilizan estas versiones de Apache Log4j. Cuando se lanza un clúster con la configuración predeterminada de EMR, este no procesa entradas de fuentes que no son de confianza.
Actualmente trabajamos en la creación de una actualización que mitigue el problema mencionado en CVE-2021-44228 cuando los marcos de código abierto instalados en el clúster de EMR procesan información de fuentes que no son de confianza.
AWS IoT SiteWise Edge
Las actualizaciones correspondientes a todos los componentes de AWS IoT SiteWise Edge que utilizan Log4j están disponibles para su implementación desde el 13/12/2021. Estos componentes son: recolector OPC-UA (v2.0.3), paquete de procesamiento de datos (v2.0.14) y publicador (v2.0.2). AWS recomienda que los clientes que utilizan estos componentes implementen las últimas versiones en sus puertas de enlace de SiteWise Edge.
Amazon Keyspaces (for Apache Cassandra)
Amazon Keyspaces (for Apache Cassandra) ha sido actualizado para mitigar los problemas que se identificaron en CVE-2021-44228.
Amazon Kinesis Data Analytics
Las versiones de Apache Flink compatibles con Amazon Kinesis Data Analytics incluyen las versiones de Apache Log4j entre 2.0 y 2.14.1. Las aplicaciones de Kinesis Data Analytics funcionan en entornos aislados de inquilino único y no pueden interactuar entre sí.
Nos encontramos en el proceso de actualizar la versión de Log4j disponible para las aplicaciones de los clientes de Kinesis Data Analytics en todas las regiones de AWS. Las aplicaciones iniciadas o actualizadas después de las 18.30 h PST del 12/12/2021 recibirán automáticamente la revisión actualizada. Los clientes cuyas aplicaciones se iniciaron o actualizaron antes de esa fecha se pueden asegurar de que las aplicaciones se ejecutan en la versión actualizada de Log4j mediante una llamada a la API UpdateApplication de Kinesis Data Analytics. Hay más información disponible acerca de la API UpdateApplication en la documentación del servicio.
Amazon Kinesis Data Streams
Estamos aplicando revisiones de manera activa a todos los subsistemas que utilizan Log4j2. La versión 2.X de la biblioteca de clientes de Kinesis (KCL) y la biblioteca de productores de Kinesis (KPL) no están afectadas. Para aquellos clientes que utilizan KCL 1.x, hemos publicado una versión actualizada y, además, recomendamos encarecidamente que todos los clientes de la versión 1.x de KCL actualicen a la versión 1.14.5 (o superior) de KCL, la cual está disponible aquí.
Amazon Managed Streaming for Apache Kafka (MSK)
Estamos al tanto del problema recientemente divulgado (CVE-2021-44228) relacionado con la biblioteca Apache Log4j2 y está en proceso de aplicar las actualizaciones necesarias. Tenga en cuenta que las compilaciones de Apache Kafka y Apache Zookeeper que se ofrecen en MSK actualmente utilizan Log4j 1.2.17, que no está afectado por este problema. Algunos componentes de servicio específicos de MSK utilizan la biblioteca Log4j > 2.0.0 y son objeto de revisiones cuando son necesarias.
Flujos de trabajo administrados de Amazon Managed Workflows for Apache Airflow (MWAA)
MWAA se ocupa de dos áreas en relación con el problema recientemente divulgado (CVE-2021-44228) relacionado con la biblioteca Apache Log4j2: el código de servicio de Amazon MWAA (específico de AWS) y el código abierto (Apache Airflow).
Desde el 14 de diciembre de 2021 completamos todas las actualizaciones necesarias del código de servicio de MWAA para abordar el problema. Apache Airflow no utiliza Log4j2 y no se ve afectado por este problema.
Animamos encarecidamente a aquellos clientes que han agregado Log4j2 a sus entornos que actualicen a la versión más reciente.
Amazon MemoryDB for Redis
Se ha completado la aplicación de revisiones a Amazon MemoryDB for Redis para el problema de Apache Log4j2 (CVE-2021-44228) el 12 de diciembre de 2021.
Amazon MQ
Amazon MQ se ocupa de dos áreas en relación con el problema recientemente divulgado (CVE-2021-44228) relacionado con la biblioteca Apache Log4j2: el código de servicio de Amazon MQ (específico de AWS) y el código abierto (agentes de mensajes de Apache ActiveMQ y RabbitMQ).
Desde el 13 de diciembre de 2021 completamos todas las actualizaciones necesarias del código de servicio de Amazon MQ para abordar el problema.
No es necesario actualizar los agentes de mensajes de código abierto. Todas las versiones de Apache ActiveMQ que se ofrecen en Amazon MQ utilizan la versión 1.2.x de Log4j, que no se ve afectada por este problema. RabbitMQ no utiliza Log4j y no se ve afectado por este problema.
Amazon Neptune
Todos los clústeres de Amazon Neptune activos se han actualizado de manera automática para mitigar los problemas identificados en CVE-2021-44228.
Amazon OpenSearch Service
Amazon OpenSearch Service ha publicado una actualización del software de servicio crítica, R20211203-P2, que contiene una versión actualizada de Log4j2 en todas las regiones. Recomendamos encarecidamente que los clientes actualicen sus clústeres de OpenSearch a esta versión lo antes posible.
Amazon RDS
Amazon RDS y Amazon Aurora abordan activamente todo el uso que los servicios hacen de Log4j2 mediante la aplicación de actualizaciones. Los motores de bases de datos relacionales creados por RDS no incluyen la biblioteca Apache Log4j2. En los casos en los que intervienen proveedores previos, aplicamos las medidas de mitigación recomendadas por estos. Es posible que se produzcan eventos intermitentes durante la actualización de componentes internos.
Amazon S3
Amazon S3 completaron las revisiones para el problema de Apache Log4j2 (CVE-2021-44228) respecto a la entrada y salida de datos de S3 el 11 de diciembre de 2021. También hemos terminado de aplicar las revisiones a todos los demás sistemas de S3 que utilizaban Log4j2.
Amazon Simple Notification Service (SNS)
Los sistemas de Amazon SNS que brindan tráfico de clientes han recibido la revisión contra el problema de Log4j2. Trabajamos para aplicar la revisión de Log4j2 a los subsistemas que operan por separado de los sistemas de SNS que sirven tráfico de clientes.
Amazon Simple Workflow Service (SWF)
Amazon Simple Workflow Service (SWF) se ha actualizado para mitigar los problemas identificados en CVE-2021-44228.
AWS CloudHSM
Las versiones del SDK JCE de AWS CloudHSM anteriores a la 3.4.1 incluyen una versión de Apache Log4j afectada por este problema. El 10 de diciembre de 2021, CloudHSM lanzó el SDK JCE v3.4.1 con una versión corregida de Apache Log4j. Si utiliza versiones de JCE de CloudHSM anteriores a la 3.4.1, es posible que se vea afectado y debe mitigar el problema mediante una actualización del SDK de JCE de CloudHSM a la versión 3.4.1 o a una posterior.
AWS Elastic Beanstalk
AWS Elastic Beanstalk instala Log4j desde los repositorios de paquetes predeterminados de Amazon Linux en sus plataformas Tomcat para Amazon Linux 1 y Amazon Linux 2. Las versiones de Log4j disponibles en los repositorios de Amazon Linux 1 y Amazon Linux 2 no se ven afectadas por CVE-2021-44228.
Si ha realizado cambios de configuración en el uso de Log4j por parte de la aplicación, recomendamos que tome medidas para actualizar el código de la aplicación a fin de mitigar este problema.
De acuerdo con nuestras prácticas habituales, si se publican versiones revisadas de estas versiones del repositorio de paquetes predeterminados, Elastic Beanstalk incluirá la versión revisada en la siguiente versión de la plataforma Tomcat para Amazon Linux 1 y Amazon Linux 2.
Puede obtener más información sobre las actualizaciones de software relacionadas con la seguridad para Amazon Linux en el Centro de seguridad de Amazon Linux.
AWS Glue
AWS Glue está al tanto del problema de seguridad divulgado recientemente en relación con la utilidad de código abierto “Log4j2” de Apache (CVE-2021-44228). Hemos actualizado nuestra flota del plano de control en la que se basan las API de AWS Glue para todas las versiones de Glue compatibles.
AWS Glue crea un nuevo entorno de Spark cuya red y administración se encuentran aisladas de todos los demás entornos de Spark dentro de la cuenta de servicio de AWS Glue. Los trabajos de extracción, transformación y carga (ETL) se ejecutan en un entorno de inquilino único. Si ha cargado un archivo JAR personalizado para utilizarlo en trabajos de ETL o puntos de conexión de desarrollo que incluye una versión específica de Apache Log4j, le recomendamos que actualice su JAR para que utilice la versión más reciente de Apache Log4j.
AWS Glue también aplica de forma proactiva las actualizaciones a los nuevos entornos de Spark en todas las regiones admitidas. Si tiene preguntas o desea asistencia adicional, póngase en contacto con AWS Support.
AWS Greengrass
Las actualizaciones correspondientes a todos los componentes de AWS Greengrass V2 que utilizan Log4j están disponibles para su implementación a partir del 10/12/2021. Estos componentes son: Stream Manager (2.0.14) y Secure Tunneling (1.0.6). AWS recomienda que los clientes que utilizan estos componentes de Greengrass implementen las últimas versiones en sus dispositivos.
La característica Stream Manager de las versiones 1.10.x y 1.11.x de Greengrass utiliza Log4j. Se incluye una actualización de la característica Stream Manager en las versiones revisadas de Greengrass 1.10.5 y 1.11.5, ambas disponibles a partir del 12/12/2021. Recomendamos enfáticamente a los clientes de las versiones 1.10.x y 1.11.x que tengan Stream Manager habilitado en sus dispositivos (o que posiblemente lo habiliten en el futuro) que actualicen sus dispositivos a las últimas versiones.
AWS Lake Formation
Los alojamientos del servicio AWS Lake Formation se actualizan a la última versión de Log4j para abordar el problema con las versiones que se mencionan en CVE-2021-44228.
AWS Lambda
AWS Lambda no incluye Log4j2 en sus tiempos de ejecución administrados ni en sus imágenes de contenedor base. Por lo tanto, no se ven afectados por el problema descrito en CVE-2021-44228. Los clientes que utilizan la biblioteca aws-lambda-java-log4j2 en las funciones tendrán que actualizar a la versión 1.3.0 y volver a implementar.
AWS SDK
AWS SDK para Java utiliza una fachada de registro y no tiene una dependencia en tiempo de ejecución de Log4j. Actualmente no creemos que sea necesario realizar ningún cambio en AWS SDK para Java debido a este problema.
AWS Step Functions
AWS Step Functions se ha actualizado para mitigar los problemas identificados en CVE-2021-44228.
AWS Web Application Firewall (WAF)
Para mejorar la detección y mitigación respecto al problema de seguridad reciente con Log4j, los clientes de CloudFront, Application Load Balancer (ALB), API Gateway y AppSync pueden habilitar AWS WAF de manera opcional y aplicar dos reglas administradas por AWS (AMR): AWSManagedRulesKnownBadInputsRuleSet y AWSManagedRulesAnonymousIpList.
AWSManagedRulesKnownBadInputsRuleSet inspecciona el URI, el cuerpo y los encabezados usados de manera común de la solicitud, mientras que AWSManagedRulesAnonymousIpList ayuda a bloquear solicitudes provenientes de servicios que permiten la ofuscación de la identidad del visualizador. Puede aplicar estas reglas al crear una ACL web de AWS WAF, si agrega uno o ambos conjuntos de reglas a su ACL web y luego los asocia a la ACL web con su distribución de CloudFront, ALB, API Gateway o API AppSync GraphQL.
Seguimos iterando el grupo de reglas AWSManagedRulesKnownBadInputsRuleSet a medida que sabemos más. Para recibir actualizaciones automáticas de AWSManagedRulesKnownBadInputsRuleSet, elija la versión predeterminada. En el caso de los clientes que utilicen AWS WAF Classic, deberán migrar a AWS WAF o crear condiciones de coincidencia de patrones regulares personalizadas. Los clientes pueden utilizar AWS Firewall Manager, el cual le permite configurar reglas de AWS WAF en varias cuentas y recursos de AWS desde un único lugar. Puede agrupar reglas, crear políticas e implementar estas últimas de manera centralizada en toda su infraestructura.
NICE
Debido a una CVE en la biblioteca Apache Log4j, incluida en EnginFrame desde la versión 2020.0 hasta la 2021.0-r1307, NICE recomienda actualizar a la última versión de EnginFrame, o actualizar la biblioteca Log4j en la instalación de EnginFrame según las instrucciones que aparecen en el sitio web de soporte.
No dude en contactar con nosotros.
AWS está al tanto del problema de seguridad divulgado recientemente en relación con la utilidad de código abierto “Log4j2” de Apache (CVE-2021-44228). Monitoreamos activamente este problema y trabajamos para abordarlo en todos los servicios de AWS que utilizan Log4j2 o lo proporcionan a los clientes como parte de su servicio.
Recomendamos enfáticamente a los clientes que administran entornos que contienen Log4j2 que realicen la actualización a la última versión, o en el mecanismo de actualización de software del sistema operativo. A continuación encontrará información adicional específica para cada servicio.
Si necesita más información o ayuda, póngase en contacto con AWS Support.
S3
S3 completaron las revisiones para el problema de Apache Log4j2 (CVE-2021-44228) respecto a la entrada y salida de datos de S3 el 11 de diciembre de 2021. También hemos terminado de aplicar las revisiones a todos los demás sistemas de S3 que utilizaban Log4j2.
Amazon OpenSearch
Amazon OpenSearch Service implementa una actualización del software de servicio, la versión R20211203-P2, que contiene una versión actualizada de Log4j2. Notificaremos a los clientes cuando la actualización esté disponible en sus regiones y actualizaremos esta nota cuando esté disponible en todo el mundo.
AWS Lambda
AWS Lambda no incluye Log4j2 en sus tiempos de ejecución administrados ni en sus imágenes de contenedor base. Por lo tanto, no se ven afectados por el problema descrito en CVE-2021-44228. Los clientes que utilizan la biblioteca aws-lambda-java-log4j2 en las funciones tendrán que actualizar a la versión 1.3.0 y volver a implementar.
AWS CloudHSM
Las versiones del SDK JCE de CloudHSM anteriores a la 3.4.1 incluyen una versión de Apache Log4j afectada por este problema. El 10 de diciembre de 2021, CloudHSM lanzó el SDK JCE v3.4.1 con una versión corregida de Apache Log4j. Si utiliza versiones de JCE de CloudHSM anteriores a la 3.4.1, es posible que se vea afectado y debe mitigar el problema mediante una actualización del SDK de JCE de CloudHSM a la versión 3.4.1 o a una posterior.
Amazon EC2
Las versiones de Log4j disponibles en los repositorios de Amazon Linux 1 y Amazon Linux 2 no se ven afectadas por CVE-2021-44228. Puede obtener más información sobre las actualizaciones de software relacionadas con la seguridad para Amazon Linux en el Centro de seguridad de Amazon Linux.
API Gateway
Nos encontramos en el proceso de actualizar API Gateway para utilizar una versión de Log4j2 que mitiga el problema. Es posible que durante estas actualizaciones se produzcan aumentos periódicos de latencia en algunas API.
AWS Greengrass
Las actualizaciones correspondientes a todos los componentes de Greengrass V2 que utilizan Log4j están disponibles para su implementación a partir del 10/12/2021. Estos componentes son: Stream Manager (2.0.14) y Secure Tunneling (1.0.6). AWS recomienda que los clientes que utilizan estos componentes de Greengrass implementen las últimas versiones en sus dispositivos.
La característica Stream Manager de las versiones 1.10.x y 1.11.x de Greengrass utiliza Log4j. Se incluye una actualización de la característica Stream Manager en las versiones revisadas de Greengrass 1.10.5 y 1.11.5, ambas disponibles a partir del 12/12/2021. Recomendamos enfáticamente a los clientes de las versiones 1.10.x y 1.11.x que tengan Stream Manager habilitado en sus dispositivos (o que posiblemente lo habiliten en el futuro) que actualicen sus dispositivos a las últimas versiones.
CloudFront
Los servicios de CloudFront se han actualizado para mitigar los problemas identificados en CVE-2021-44228. Los servicios de gestión de solicitudes de CloudFront que se ejecutan en nuestros POP no están escritos en Java y, por lo tanto, no se vieron afectados por este problema.
Elastic BeanStalk
AWS Elastic Beanstalk instala Log4j desde los repositorios de paquetes predeterminados de Amazon Linux en sus plataformas Tomcat para Amazon Linux 1 y Amazon Linux 2. Las versiones de Log4j disponibles en los repositorios de Amazon Linux 1 y Amazon Linux 2 no se ven afectadas por CVE-2021-44228.
Si ha realizado cambios de configuración en el uso de Log4j por parte de la aplicación, recomendamos que tome medidas para actualizar el código de la aplicación a fin de mitigar este problema.
De acuerdo con nuestras prácticas habituales, si se publican versiones revisadas de estas versiones del repositorio de paquetes predeterminados, Elastic Beanstalk incluirá la versión revisada en la siguiente versión de la plataforma Tomcat para Amazon Linux 1 y Amazon Linux 2.
Puede obtener más información sobre las actualizaciones de software relacionadas con la seguridad para Amazon Linux en el Centro de seguridad de Amazon Linux.
EMR
CVE-2021-44228 afecta a las versiones de Apache Log4j entre 2.0 y 2.14.1 cuando se procesan entradas de fuentes que no son de confianza. Los clústeres de EMR lanzados con las versiones EMR 5 y EMR 6 incluyen marcos de código abierto, como Apache Hive, Flink, HUDI, Presto y Trino, que utilizan estas versiones de Apache Log4j. Cuando se lanza un clúster con la configuración predeterminada de EMR, este no procesa entradas de fuentes que no son de confianza.
Actualmente trabajamos en la creación de una actualización que mitigue el problema mencionado en CVE-2021-44228 cuando los marcos de código abierto instalados en el clúster de EMR procesan información de fuentes que no son de confianza.
Lake Formation
Los alojamientos del servicio Lake Formation se actualizan de forma proactiva a la última versión de Log4j para abordar el problema de seguridad con las versiones que se mencionan en CVE-2021-44228.
AWS SDK
AWS SDK for Java utiliza una fachada de registro y no tiene una dependencia en tiempo de ejecución de Log4j. Actualmente no creemos que sea necesario realizar ningún cambio en AWS SDK for Java debido a este problema.
AMS
Monitoreamos activamente este problema y trabajamos para abordarlo en todos los servicios de AMS que utilizan Log4j2. Recomendamos enfáticamente a los clientes que administran entornos que contienen Log4j2 que realicen la actualización a la última versión, o que utilicen el mecanismo de actualización de software del sistema operativo.
Amazon Neptune
Amazon Neptune incluye la biblioteca Apache Log4j2 como componente periférico, pero se cree que el problema no afecta a los usuarios de Neptune. Como medida de precaución, los clústeres de Neptune se actualizarán automáticamente para utilizar una versión de Log4j2 que aborde el problema. Es posible que se produzcan eventos intermitentes durante la actualización.
NICE
Debido a una CVE en la biblioteca Apache Log4j, incluida en EnginFrame desde la versión 2020.0 hasta la 2021.0-r1307, NICE recomienda actualizar a la última versión de EnginFrame, o actualizar la biblioteca Log4j en la instalación de EnginFrame según las instrucciones que aparecen en el sitio web de soporte.
No dude en contactar con nosotros.
Kafka
Managed Streaming for Apache Kafka está al tanto del problema recientemente divulgado (CVE-2021-44228) relacionado con la biblioteca Apache Log4j2 y está en proceso de aplicar las actualizaciones necesarias. Tenga en cuenta que las compilaciones de Apache Kafka y Apache Zookeeper que se ofrecen en MSK actualmente utilizan Log4j 1.2.17, que no está afectado por este problema. Algunos componentes de servicio específicos de MSK utilizan la biblioteca Log4j > 2.0.0 y son objeto de revisiones cuando son necesarias.
AWS Glue
AWS Glue está al tanto del problema de seguridad divulgado recientemente en relación con la utilidad de código abierto “Log4j2” de Apache (CVE-2021-44228). Hemos actualizado nuestra flota del plano de control en la que se basan las API de AWS Glue para todas las versiones de Glue compatibles.
AWS Glue crea un nuevo entorno de Spark cuya red y administración se encuentran aisladas de todos los demás entornos de Spark dentro de la cuenta de servicio de AWS Glue. Los trabajos de extracción, transformación y carga (ETL) se ejecutan en un entorno de inquilino único. Si los trabajos de ETL cargan una versión específica de Apache Log4j, se recomienda actualizar los scripts para utilizar la última versión de Apache Log4j. Si utiliza los puntos de enlace de desarrollo de AWS Glue para crear los scripts, recomendamos que actualice la versión de Log4j que utiliza allí también.
AWS Glue también aplica de forma proactiva las actualizaciones a los nuevos entornos de Spark en todas las regiones admitidas. Si tiene preguntas o desea asistencia adicional, póngase en contacto con nosotros a través de AWS Support.
RDS
Amazon RDS y Amazon Aurora abordan activamente todo el uso que los servicios hacen de Log4j2 mediante la aplicación de actualizaciones. Los motores de bases de datos relacionales creados por RDS no incluyen la biblioteca Apache Log4j. En los casos en los que intervienen proveedores previos, aplicamos las medidas de mitigación recomendadas por estos. Es posible que se produzcan eventos intermitentes durante la actualización de componentes internos.
Amazon Connect
Los servicios de Amazon Connect se han actualizado para mitigar los problemas identificados en CVE-2021-44228.
Amazon DynamoDB
Amazon DynamoDB y Amazon DynamoDB Accelerator (DAX) se han actualizado para mitigar los problemas que se identificaron en CVE-2021-44228.
Amazon Keyspaces (for Apache Cassandra)
Amazon Keyspaces (for Apache Cassandra) ha sido actualizado para mitigar los problemas que se identificaron en CVE-2021-44228.
Amazon MQ
Amazon MQ se ocupa de dos áreas en relación con el problema recientemente divulgado (CVE-2021-44228) relacionado con la biblioteca Apache Log4j2: el código de servicio de Amazon MQ (específico de AWS) y el código abierto (agentes de mensajes de Apache ActiveMQ y RabbitMQ).
Desde el 13 de diciembre de 2021 completamos todas las actualizaciones necesarias del código de servicio de Amazon MQ para abordar el problema.
No es necesario actualizar los agentes de mensajes de código abierto. Todas las versiones de Apache ActiveMQ que se ofrecen en Amazon MQ utilizan la versión 1.2.x de Log4j, que no se ve afectada por este problema. RabbitMQ no utiliza Log4j y no se ve afectado por este problema.
Kinesis Data Analytics
Las versiones de Apache Flink compatibles con Kinesis Data Analytics incluyen las versiones de Apache Log4j entre 2.0 y 2.14.1. Las aplicaciones de Kinesis Data Analytics funcionan en entornos aislados de único inquilino y no pueden interactuar entre sí.
Nos encontramos en el proceso de actualizar la versión de Log4j disponible para las aplicaciones de los clientes de Kinesis Data Analytics en todas las regiones de AWS. Las aplicaciones iniciadas o actualizadas después de las 18.30 h PST del 12/12/2021 recibirán automáticamente la revisión actualizada. Los clientes cuyas aplicaciones se iniciaron o actualizaron antes de esa fecha se pueden asegurar de que las aplicaciones se ejecutan en la versión actualizada de Log4j mediante una llamada a la API UpdateApplication de Kinesis Data Analytics. Consulte más información acerca de la API UpdateApplication.
AWS está al tanto del problema de seguridad divulgado recientemente en relación con la utilidad de código abierto “Log4j2” de Apache (CVE-2021-44228). Monitoreamos activamente este problema y trabajamos para abordarlo en todos los servicios de AWS que utilizan Log4j2 o lo proporcionan a los clientes como parte de su servicio.
Recomendamos enfáticamente a los clientes que administran entornos que contienen Log4j2 que realicen la actualización a la última versión, o en el mecanismo de actualización de software del sistema operativo.
Se ha informado que el uso de Log4j2 en las versiones de JDK posteriores a 8u121 o 8u191 (incluido JDK 11 y posteriores) mitiga el problema, pero únicamente se trata de una mitigación parcial. La única solución integral es actualizar Log4j2 a la versión 2.15. Del mismo modo, las versiones de Log4j2 anteriores a la 2.15 se deben considerar afectadas independientemente de la distribución o versión de JDK utilizada.
A continuación encontrará información adicional específica para cada servicio.
Si necesita más información o ayuda, póngase en contacto con AWS Support.
API Gateway
Nos encontramos en el proceso de actualizar API Gateway para utilizar una versión de Log4j2 que mitiga el problema. Es posible que durante estas actualizaciones se produzcan aumentos periódicos de latencia en algunas API.
AWS Greengrass
Las actualizaciones correspondientes a todos los componentes de Greengrass V2 que utilizan Apache Log4j2 están disponibles para su implementación desde el 10/12/2021. Estos componentes son: Stream Manager (2.0.14) y Secure Tunneling (1.0.6). AWS recomienda que los clientes que utilizan estos componentes de Greengrass implementen las últimas versiones en sus dispositivos.
Se espera que las actualizaciones correspondientes a las versiones 1.10 y 1.11 de Greengrass estén disponibles antes del 17/12/2021. Se recomienda a los clientes que utilizan Stream Manager en estos dispositivos que los actualicen tan pronto como los binarios de Greengrass estén disponibles para estas versiones. Mientras tanto, los clientes deben verificar que el código lambda personalizado que utilice Stream Manager en Greengrass 1.10 o 1.11 no utilice nombres de transmisión y de archivo arbitrarios (para el exportador S3) fuera del control del cliente, por ejemplo, un nombre de transmisión o de archivo que contenga el texto "${".
Amazon MQ
Amazon MQ se ocupa de dos áreas en relación con el problema recientemente divulgado (CVE-2021-44228) relacionado con la biblioteca Apache Log4j2: el código de servicio de Amazon MQ (específico de AWS) y el código abierto (agentes de mensajes de Apache ActiveMQ y RabbitMQ).
Nos encontramos en el proceso de aplicar las actualizaciones necesarias al código de servicio de Amazon MQ para abordar el problema.
No es necesario actualizar los agentes de mensajes de código abierto. Todas las versiones de Apache ActiveMQ que se ofrecen en Amazon MQ utilizan la versión 1.x de Log4j, que no está afectada por este problema. RabbitMQ no utiliza Log4j2 y no se ve afectado por este problema.
CloudFront
Los servicios de CloudFront se han actualizado para mitigar los problemas identificados en CVE-2021-44228. Los servicios de gestión de solicitudes de CloudFront que se ejecutan en nuestros POP no están escritos en Java y, por lo tanto, no se vieron afectados por este problema.
AWS Elastic Beanstalk
AWS Elastic Beanstalk instala Log4j desde los repositorios de paquetes predeterminados de Amazon Linux en sus plataformas Tomcat para Amazon Linux 1 y Amazon Linux 2. Las versiones de Log4j disponibles en los repositorios de Amazon Linux 1 y Amazon Linux 2 no se ven afectadas por CVE-2021-44228.
Si ha realizado cambios de configuración en el uso de Log4j por parte de la aplicación, recomendamos que tome medidas para actualizar el código de la aplicación a fin de mitigar este problema.
De acuerdo con nuestras prácticas habituales, si se publican versiones revisadas de estas versiones del repositorio de paquetes predeterminados, Elastic Beanstalk incluirá la versión revisada en la siguiente versión de la plataforma Tomcat para Amazon Linux 1 y Amazon Linux 2.
Puede obtener más información sobre las actualizaciones de software relacionadas con la seguridad para Amazon Linux en el Centro de seguridad de Amazon Linux.
EMR
CVE-2021-44228 afecta a las versiones de Apache Log4j entre 2.0 y 2.14.1 cuando se procesan entradas de fuentes que no son de confianza. Los clústeres de EMR lanzados con las versiones EMR 5 y EMR 6 incluyen marcos de código abierto, como Apache Hive, Flink, HUDI, Presto y Trino, que utilizan estas versiones de Apache Log4j. Cuando se lanza un clúster con la configuración predeterminada de EMR, este no procesa entradas de fuentes que no son de confianza.
Actualmente trabajamos en la creación de una actualización que mitigue el problema mencionado en CVE-2021-44228 cuando los marcos de código abierto instalados en el clúster de EMR procesan información de fuentes que no son de confianza.
Lake Formation
Los alojamientos del servicio Lake Formation se actualizan de forma proactiva a la última versión de Log4j para abordar el problema con las versiones que se mencionan en CVE-2021-44228.
S3
Se aplican revisiones a la entrada y salida de datos de S3 para hacer frente al problema de Log4j2. Trabajamos para aplicar la revisión de Log4j2 a los sistemas de S3 que operan por separado de la entrada y salida de datos de S3.
AWS SDK
AWS SDK for Java utiliza una fachada de registro y no tiene una dependencia en tiempo de ejecución de Log4j. Actualmente no creemos que sea necesario realizar ningún cambio en AWS SDK for Java debido a este problema.
AMS
Monitoreamos activamente este problema y trabajamos para abordarlo en todos los servicios de AMS que utilizan Log4j2. Recomendamos enfáticamente a los clientes que administran entornos que contienen Log4j2 que realicen la actualización a la última versión, o que utilicen el mecanismo de actualización de software del sistema operativo.
AMS recomienda implementar un Firewall de Aplicaciones Web (WAF) para todos los puntos de enlace de aplicaciones a los que se pueda acceder desde Internet. El servicio AWS WAF se puede configurar para proporcionar una capa adicional de defensa contra este problema al implementar el conjunto de reglas AWSManagedRulesAnonymousIpList (que contiene reglas para bloquear fuentes conocidas por anonimizar la información del cliente, como los nodos TOR) y el conjunto de reglas AWSManagedRulesKnownBadInputsRuleSet (que inspecciona el URI, el cuerpo de la solicitud y los encabezados más utilizados para ayudar a bloquear las solicitudes relacionadas con Log4j y otros problemas).
La AMS continuará el monitoreo de este problema y proporcionará detalles y recomendaciones adicionales a medida que estén disponibles.
Amazon Neptune
Amazon Neptune incluye la biblioteca Apache Log4j2 como componente periférico, pero se cree que el problema no afecta a los usuarios de Neptune. Como medida de precaución, los clústeres de Neptune se actualizarán automáticamente para utilizar una versión de Log4j2 que aborde el problema. Es posible que se produzcan eventos intermitentes durante la actualización.
NICE
Debido a una CVE en la biblioteca Apache Log4j, incluida en EnginFrame desde la versión 2020.0 hasta la 2021.0-r1307, NICE recomienda actualizar a la última versión de EnginFrame, o actualizar la biblioteca Log4j en la instalación de EnginFrame según las instrucciones que aparecen en el sitio web de soporte.
No dude en contactar con nosotros.
Kafka
Managed Streaming for Apache Kafka está al tanto del problema recientemente divulgado (CVE-2021-44228) relacionado con la biblioteca Apache Log4j2 y está en proceso de aplicar las actualizaciones necesarias. Tenga en cuenta que las compilaciones de Apache Kafka y Apache Zookeeper que se ofrecen en MSK actualmente utilizan Log4j 1.2.17, que no está afectado por este problema. Algunos componentes de servicio específicos de MSK utilizan la biblioteca Log4j > 2.0.0 y son objeto de revisiones cuando son necesarias.
AWS Glue
AWS Glue está al tanto del problema de seguridad divulgado recientemente en relación con la utilidad de código abierto “Log4j2” de Apache (CVE-2021-44228). Hemos actualizado nuestra flota del plano de control en la que se basan las API de AWS Glue para todas las versiones de Glue compatibles.
AWS Glue crea un nuevo entorno de Spark cuya red y administración se encuentran aisladas de todos los demás entornos de Spark dentro de la cuenta de servicio de AWS Glue. Los trabajos de extracción, transformación y carga (ETL) se ejecutan en un entorno de inquilino único. Si los trabajos de ETL cargan una versión específica de Apache Log4j, se recomienda actualizar los scripts para utilizar la última versión de Apache Log4j. Si utiliza los puntos de enlace de desarrollo de AWS Glue para crear los scripts, recomendamos que actualice la versión de Log4j que utiliza allí también.
AWS Glue también aplica de forma proactiva las actualizaciones a los nuevos entornos de Spark en todas las regiones admitidas. Si tiene preguntas o desea asistencia adicional, póngase en contacto con nosotros a través de AWS Support.
RDS
Amazon RDS y Amazon Aurora abordan activamente todo el uso que los servicios hacen de Log4j2 mediante la aplicación de actualizaciones. Los motores de bases de datos relacionales creados por RDS no incluyen la biblioteca Apache Log4j. En los casos en los que intervienen proveedores previos, aplicamos las medidas de mitigación recomendadas por estos. Es posible que se produzcan eventos intermitentes durante la actualización de componentes internos.
OpenSearch
Amazon OpenSearch Service implementa una actualización del software de servicio, la versión R20211203-P2, que contiene una versión actualizada de Log4j2. Notificaremos a los clientes cuando la actualización esté disponible en sus regiones y actualizaremos esta nota cuando esté disponible en todo el mundo.