Fecha de publicación inicial: 19/04/2022 14:30 h PST
CVE IDs: CVE-2021-3100, CVE-2021-3101, CVE-2022-0070, CVE-2022-0071
El 12 de diciembre de 2021, Amazon lanzó públicamente una revisión en caliente para la ejecución de máquinas virtuales Java que desactiva la carga de la clase Interfaz de Nombrado y Directorio Java (JNDI). Esta revisión en caliente mitiga de forma inmediata los problemas críticos de la utilidad de código abierto “Log4j2” de Apache (CVE-2021-44228 y CVE-2021-45046), a la vez que permite a los administradores de sistemas disponer de tiempo suficiente para revisar completamente los entornos afectados. Los investigadores de seguridad han informado recientemente de problemas relacionados con esta revisión y los enlaces OCI asociados para Bottlerocket (“Hotdog”). Hemos abordado estos problemas en una nueva versión de la revisión y en una nueva versión de Hotdog. Recomendamos a los clientes que ejecutan aplicaciones Java en contenedores, y que utilizan la revisión en caliente o Hotdog, que actualicen a las últimas versiones del software inmediatamente. Los últimos nombres de paquetes y versiones de la revisión en caliente para Amazon Linux y Amazon Linux 2 son los siguientes:
- Amazon Linux: log4j-cve-2021-44228-hotpatch-1.1-16.amzn1
- Amazon Linux 2: log4j-cve-2021-44228-hotpatch-1.1-16.amzn2
Los clientes que utilizan la revisión en caliente de Apache Log4j en Amazon Linux pueden actualizar a la versión más reciente de la revisión en caliente mediante la ejecución del siguiente comando: sudo yum update. La revisión en caliente prevé un entorno que contenga las actualizaciones más recientes del kernel de Linux, de modo que los clientes no deben omitir ninguna de las actualizaciones del kernel disponibles al actualizar la versión de la revisión en caliente en uso. Puede encontrar más información en el Centro de seguridad de Amazon Linux : https://alas.aws.amazon.com
Los clientes que utilizan Bottlerocket con la característica de revisión en caliente para Apache Log4j activada deben actualizar a la versión más reciente de Bottlerocket, que incluye la versión más reciente de Hotdog.
Nos gustaría agradecer a Palo Alto Networks por haber informado de estos problemas.
Puede plantearnos preguntas o dudas relacionadas con la seguridad a través de aws-security@amazon.com.