Date de publication initiale : 10/12/2021, 19 h 20 (heure du Pacifique)
Toutes les mises à jour relatives à ce problème ont été transférées ici.
AWS est au courant du problème de sécurité récemment publié, concernant l'outil open source Apache « Log4j2 » (CVE-2021-44228). Nous surveillons activement ce problème, et nous travaillons à le résoudre pour tous les services AWS qui utilisent l'outil Log4j2 ou qui le fournissent aux clients dans le cadre de leur service.
Nous encourageons vivement les clients qui gèrent les environnements comportant l'outil Log4j2 à effectuer la mise à jour vers la version la plus récente, disponible sur https://logging.apache.org/log4j/2.x/download.html, ou à mettre à jour le mécanisme de mise à jour logicielle de leur système d'exploitation. Des informations supplémentaires propres aux services sont disponibles ci-dessous.
Pour plus d'informations ou l'aide, veuillez contacter AWS Support.
Amazon EC2
Les versions de Log4j disponibles dans les référentiels Amazon Linux 1 et Amazon Linux 2 ne sont pas affectées par CVE-2021-44228. Pour plus d'informations sur les mises à jour logicielles relatives à la sécurité pour Amazon Linux, consultez l'adresse https://alas.aws.amazon.com.
AWS WAF/Shield
Afin d'améliorer la détection et l'atténuation des risques découlant du récent problème de sécurité lié à Log4j, nous avons mis à jour l'AMR AWSManagedRulesKnownBadInputsRuleSet dans le service AWS WAF. Les clients CloudFront, Application Load Balancer (ALB), API Gateway et AppSync peuvent immédiatement profiter de cette option d'atténuation, qui permet de contrôler l'URI, le corps de requête ainsi que les en-têtes courants pour renforcer la sécurité. Pour ce faire, cette option crée une ACL web AWS WAF, ajoute l'AMR AWSManagedRulesKnownBadInputsRuleSet à votre ACL web, puis associe l'ACL web à vos API de distribution CloudFront ; ALB ; API Gateway ou AppSync GraphQL.
Plus d'informations sur le démarrage avec AWS WAF disponibles ici : https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html
La documentation supplémentaire concernant l'activation des AMR est disponible ici : https://docs.aws.amazon.com/waf/latest/developerguide/waf-using-managed-rule-groups.html
Veuillez noter que les AMR ne sont pas disponibles dans WAF Classic. Veuillez donc effectuer une mise à niveau vers AWS WAF (wafv2) pour tirer parti de cette option d'atténuation.
Amazon OpenSearch
Nous mettons à jour tous les domaines Amazon OpenSearch Service afin qu'ils utilisent une version de l'outil « Log4j2 » permettant de résoudre le problème. Il peut arriver que vous notiez une activité intermittente sur vos domaines pendant le processus de mise à jour.
AWS Lambda
AWS Lambda n'inclut pas Log4j2 dans ses exécutions gérées ni ses images de conteneurs de base. Ces éléments ne sont dont pas affectés par le problème décrit dans CVE-2021-44228. Les clients qui utilisent la bibliothèque aws-lambda-java-log4j2 (https://repo1.maven.org/maven2/com/amazonaws/aws-lambda-java-log4j2/) dans leurs fonctions doivent effectuer une mise à jour vers la version 1.3.0 et reprendre le déploiement.
AWS CloudHSM
Les versions du kit SDK JCE CloudHSM antérieures à 3.4.1 incluent une version d'Apache Log4j affectée par ce problème. Le 10 décembre 2021, CloudHSM a publié le kit SDK JCE v3.4.1 avec une version fixe d'Apache Log4j. Si vous utilisez des versions CloudHSM JCE antérieures à 3.4.1, vous pourriez être affecté. Pour résoudre le problème, vous devez mettre à niveau le kit CloudHSM JCE vers la version 3.4.1 or ou une version supérieure.[1]
[1] https://docs.aws.amazon.com/cloudhsm/latest/userguide/java-library-install.html