Date de la première publication : 19/04/2022 14 h 30 PST
ID CVE : CVE-2021-3100, CVE-2021-3101, CVE-2022-0070, CVE-2022-0071
Le 12 décembre 2021, Amazon a publié un correctif pour les machines virtuelles Java en cours d'exécution. Ce correctif désactive le chargement de la classe Java Naming and Directory Interface (JNDI). Ce correctif permet d'atténuer immédiatement les problèmes critiques de la version open-source Apache « Log4j2 » (CVE-2021-44228 et CVE-2021-45046) tout en laissant aux administrateurs système suffisamment de temps pour appliquer un correctif complet aux environnements concernés. Des chercheurs en sécurité ont récemment signalé des problèmes dans ce correctif, et les hooks OCI associés à Bottlerocket (« Hotdog »). Nous avons résolu ces problèmes dans une nouvelle version du correctif, ainsi que dans une nouvelle version de Hotdog. Nous recommandons aux clients qui utilisent des applications Java dans des conteneurs et qui utilisent le correctif ou Hotdog d'effectuer immédiatement une mise à jour vers les dernières versions du logiciel. Les derniers noms de package et versions du correctif pour Amazon Linux et Amazon Linux 2 sont les suivants :
- Amazon Linux : log4j-cve-2021-44228-hotpatch-1.1-16.amzn1
- Amazon Linux 2 : log4j-cve-2021-44228-hotpatch-1.1-16.amzn2
Les clients qui utilisent le correctif pour Apache Log4j sur Amazon Linux peuvent mettre à jour vers la dernière version du correctif en exécutant la commande suivante : sudo yum update. Le correctif demande un environnement contenant les dernières mises à jour du noyau Linux, et les clients ne doivent pas ignorer les mises à jour disponibles du noyau lors de la mise à jour de la version du correctif utilisée. Plus d'informations sont disponibles dans le Centre de sécurité Amazon Linux : https://alas.aws.amazon.com
Les clients qui utilisent Bottlerocket avec la fonctionnalité de correctif pour Apache Log4j activée doivent mettre à jour vers la dernière version de Bottlerocket, ce qui inclut la version la plus récente de Hotdog.
Nous remercions Palo Alto Networks pour le signalement de ces problèmes.
Les questions ou préoccupations liées à la sécurité peuvent être portées à notre attention via aws-security@amazon.com.