Tanggal Publikasi Awal: 10/12/2021 19:20 PDT
Semua pembaruan mengenai masalah ini telah dipindahkan di sini.
AWS memperhatikan terungkapnya masalah keamanan baru-baru ini yang terkait dengan utilitas sumber terbuka Apache “Log4j2" (CVE-2021-44228). Kami secara aktif memantau dan menangani masalah ini untuk setiap layanan AWS, baik yang menggunakan Log4j2 maupun yang menyediakannya untuk pelanggan sebagai bagian dari layanan mereka.
Kami sangat mendorong pelanggan yang mengelola lingkungan berisi Log4j2 untuk memperbaruinya ke versi terbaru yang tersedia di: https://logging.apache.org/log4j/2.x/download.html atau mekanisme pembaruan perangkat lunak sistem operasi mereka. Informasi layanan khusus tambahan tersedia di bawah ini.
Jika Anda membutuhkan bantuan atau detail tambahan, hubungi AWS Support.
Amazon EC2
Versi Log4j yang tersedia di repositori Amazon Linux 1 dan Amazon Linux 2 tidak terpengaruh oleh CVE-2021-44228. Informasi selengkapnya tentang pembaruan perangkat lunak terkait keamanan Amazon Linux tersedia di: https://alas.aws.amazon.com.
AWS WAF / Shield
Untuk meningkatkan deteksi dan memitigasi risiko yang muncul dari masalah keamanan Log4j terbaru, kami telah memperbarui AMR AWSManagedRulesKnownBadInputsRuleSet pada layanan AWS WAF. Pelanggan CloudFront, Application Load Balancer (ALB), API Gateway, dan AppSync dapat segera memanfaatkan opsi mitigasi ini, yang memeriksa uri, isi permintaan, dan secara umum menggunakan header untuk menambahkan lapisan pertahanan tambahan dengan membuat web ACL AWS WAF, menambahkan AWSManagedRulesKnownBadInputsRuleSet ke web ACL Anda, kemudian mengaitkan web ACL dengan distribusi CloudFront, ALB, API Gateway, atau API GraphQL AppSync.
Informasi selengkapnya tentang memulai dengan AWS WAF tersedia di sini: https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html
Dokumentasi tambahan untuk mengaktifkan AMR tersedia di sini: https://docs.aws.amazon.com/waf/latest/developerguide/waf-using-managed-rule-groups.html
Harap perhatikan bahwa AMR tidak tersedia di WAF Classic, jadi silakan mutakhirkan ke AWS WAF (wafv2) untuk memanfaatkan opsi mitigasi ini.
Amazon OpenSearch
Kami sedang memperbarui semua domain Amazon OpenSearch Service agar menggunakan versi dari “Log4j2” yang menangani masalah ini. Anda dapat mengamati aktivitas intermiten pada domain selama proses pembaruan.
AWS Lambda
AWS Lambda tidak memasukkan Log4j2 dalam waktu aktif terkelola atau citra kontainer dasar miliknya. Oleh karena itu, hal ini tidak terpengaruh oleh masalah yang dijelaskan di CVE-2021-44228. Pelanggan yang menggunakan pustaka aws-lambda-java-log4j2 (https://repo1.maven.org/maven2/com/amazonaws/aws-lambda-java-log4j2/) pada fungsi mereka harus memperbarui ke versi 1.3.0 dan men-deploy ulang.
AWS CloudHSM
Versi CloudHSM JCE SDK sebelum 3.4.1 mencakup versi Apache Log4j yang terpengaruh oleh masalah ini. Pada tanggal 10 Desember 2021, CloudHSM merilis JCE SDK v3.4.1 dengan versi tetap dari Apache Log4j. Jika Anda menggunakan versi CloudHSM JCE sebelum 3.4.1, Anda mungkin terkena dampak dan harus memperbaikinya dengan memutakhirkan CloudHSM JCE SDK ke versi 3.4.1 atau di atasnya [1].
[1] https://docs.aws.amazon.com/cloudhsm/latest/userguide/java-library-install.html