AWS memperhatikan terungkapnya masalah baru-baru ini yang terkait dengan utilitas sumber terbuka Apache “Log4j2" (CVE-2021-44228 dan CVE-2021-45046).
Menanggapi masalah keamanan seperti ini menunjukkan nilai dari memiliki beberapa lapisan teknologi pertahanan, yang sangat penting untuk menjaga keamanan data dan beban kerja pelanggan kami.
Kami telah menangani masalah ini dengan sangat serius, dan tim teknisi kelas dunia kami telah sepenuhnya men-deploy hot patch Java yang dikembangkan Amazon yang tersedia di sini untuk semua layanan AWS. Hot patch memperbarui Java VM untuk menonaktifkan pemuatan kelas Java Naming and Directory Interface (JNDI), menggantikannya dengan pesan notifikasi yang tidak berbahaya, yang memitigasi CVE-2021-44228 dan CVE-2021-45046. Kami akan segera menyelesaikan deployment pustaka Log4j yang diperbarui ke semua layanan kami. Informasi selengkapnya tentang hotpatch Java tersedia di https://aws.amazon.com/blogs/security/open-source-hotpatch-for-apache-log4j-vulnerability/.
Bahkan dengan hot patch ini di-deploy, pelanggan tetap harus men-deploy pustaka Log4j yang diperbarui secepat mungkin, seperti yang kami lakukan di seluruh AWS.
Untuk detail selengkapnya tentang cara mendeteksi dan memulihkan CVE Log4j menggunakan layanan AWS, silakan baca postingan blog terbaru kami di sini.
Tidak ada pembaruan khusus layanan lebih lanjut yang diperlukan setelah buletin final ini.
Jika Anda membutuhkan bantuan atau detail tambahan, hubungi AWS Support.
Amazon Connect
Amazon Connect telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Kami menyarankan pelanggan untuk mengevaluasi komponen lingkungan mereka yang berada di luar batas layanan Amazon Connect (seperti fungsi Lambda yang dipanggil dari aliran kontak) yang mungkin memerlukan mitigasi pelanggan terpisah/tambahan.
Amazon Chime
Layanan Amazon Chime SDK telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228 dan CVE-2021-45046.
Layanan Amazon Chime telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228 dan CVE-2021-45046.
Amazon EMR
CVE-2021-44228 berdampak pada Apache Log4j versi antara 2.0 dan 2.14.1 saat memproses input dari sumber yang tidak tepercaya. Klaster EMR yang diluncurkan bersama dengan perilisan EMR 5 dan EMR 6 mencakup kerangka kerja sumber terbuka seperti Apache Hive, Apache Flink, HUDI, Presto, dan Trino yang menggunakan Apache Log4j tersebut. Saat Anda meluncurkan klaster dengan konfigurasi default EMR, input dari sumber yang tidak tepercaya tidak dapat diproses. Banyak pelanggan menggunakan kerangka kerja sumber terbuka yang diinstal pada klaster EMR mereka untuk memproses dan mencatat masukan dari sumber yang tidak tepercaya. Oleh karena itu, AWS menyarankan agar Anda menerapkan solusi yang dijelaskan di sini.
Amazon Fraud Detector
Layanan Amazon Fraud Detector telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon Kendra
Amazon Kendra telah diperbarui untuk memitigasi CVE-2021-44228.
Amazon Lex
Amazon Lex telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon Lookout for Equipment
Amazon Lookout for Equipment telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon Macie
Layanan Amazon Macie telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon Macie Classic
Layanan Amazon Macie Classic telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon Monitron
Amazon Monitron telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon RDS
Amazon RDS dan Amazon Aurora telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon Rekognition
Layanan Amazon Rekognition telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon VPC
Amazon VPC, termasuk layanan Gateway Internet dan Gateway Virtual, telah diperbarui untuk memitigasi masalah Log4j yang dirujuk dalam CVE-2021-44228.
AWS AppSync
AWS AppSync telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228 dan CVE-2021-45046.
AWS Certificate Manager
Layanan AWS Certificate Manager telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Layanan ACM Private CA telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
AWS Service Catalog
AWS Service Catalog telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
AWS Systems Manager
Layanan AWS Systems Manager telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228. Agen Systems Manager itu sendiri tidak terpengaruh oleh masalah ini.
AWS memperhatikan terungkapnya masalah baru-baru ini yang terkait dengan utilitas sumber terbuka Apache “Log4j2" (CVE-2021-44228 dan CVE-2021-45046).
Menanggapi masalah keamanan seperti ini menunjukkan nilai dari memiliki beberapa lapisan teknologi pertahanan, yang sangat penting untuk menjaga keamanan data dan beban kerja pelanggan kami. Kami menangani masalah ini dengan sangat serius, dan tim teknisi kelas dunia kami telah bekerja sepanjang waktu untuk tanggapan dan perbaikan kami. Kami berharap untuk segera memulihkan kondisi pertahanan penuh kami secara mendalam.
Salah satu teknologi yang telah kami kembangkan dan deploy secara luas di dalam AWS adalah hot patch untuk aplikasi yang mungkin menyertakan Log4j. Hot patch ini memperbarui Java VM untuk menonaktifkan pemuatan kelas Java Naming and Directory Interface (JNDI), menggantikannya dengan pesan notifikasi yang tidak berbahaya, yang merupakan mitigasi yang efektif CVE-2021-44228 dan CVE-2021-45046.
Kami juga menyediakan ini sebagai solusi sumber terbuka, yang tersedia di sini.
Bahkan dengan di-deploy-nya hot patch ini, pelanggan tetap harus men-deploy pustaka Log4j yang diperbarui secepat mungkin.
Untuk detail selengkapnya tentang cara mendeteksi dan memulihkan CVE Log4j menggunakan layanan AWS, silakan baca postingan blog terbaru kami di sini.
Informasi layanan khusus tambahan tersedia di bawah ini. Jika Anda membutuhkan bantuan atau detail tambahan, hubungi AWS Support.
Amazon EKS, Amazon ECS, dan AWS Fargate
Untuk membantu mengurangi dampak dari masalah keamanan utilitas sumber terbuka Apache “Log4j2” (CVE-2021-44228 dan CVE-2021-45046) pada kontainer pelanggan, Amazon EKS, Amazon ECS, dan AWS Fargate men-deploy pembaruan berbasis Linux (hot-patch). Hot-patch ini akan membutuhkan keikutsertaan pelanggan untuk menggunakan, dan menonaktifkan pencarian JNDI dari pustaka Log4J2 di kontainer pelanggan. Pembaruan ini tersedia sebagai paket Amazon Linux untuk pelanggan Amazon ECS, sebagai DaemonSet untuk pengguna Kubernetes di AWS, dan akan tersedia dalam versi platform AWS Fargate yang didukung.
Pelanggan yang menjalankan aplikasi berbasis Java di kontainer Windows disarankan untuk mengikuti panduan Microsoft di sini.
Amazon ECR Publik dan Amazon ECR
Gambar milik Amazon yang diterbitkan di bawah Akun Terverifikasi di Amazon ECR Publik tidak terpengaruh oleh masalah yang dijelaskan dalam CVE-2021-4422. Untuk gambar milik pelanggan di Amazon ECR, AWS menawarkan Pemindaian yang Ditingkatkan dengan Amazon Inspector, yang dirancang untuk terus memindai citra kontainer untuk masalah keamanan yang diketahui, termasuk citra kontainer yang berisi CVE-2021-44228. Temuan dilaporkan di konsol Inspector dan ECR. Inspector menyertakan uji coba 15 hari gratis dengan pemindaian citra kontainer gratis untuk akun baru di Inspector. Untuk pelanggan yang menggunakan gambar di ECR Publik dari penerbit pihak ketiga, pelanggan dapat menggunakan fitur Pengambilan Dari Cache ECR yang baru diluncurkan untuk menyalin gambar tersebut dari ECR Publik ke dalam registri ECR mereka dan menggunakan pemindaian Inspector untuk mendeteksi masalah keamanan.
Amazon Cognito
Layanan Amazon Cognito telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon Pinpoint
Layanan Amazon Pinpoint telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon EventBridge
Amazon EventBridge telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Elastic Load Balancing
Layanan Elastic Load Balancing telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228. Semua Elastic Load Balancer, serta Classic, Application, Network, dan Gateway, tidak ditulis dalam Java dan oleh karena itu tidak terpengaruh oleh masalah ini.
AWS CodePipeline
AWS CodePipeline telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228 dan CVE-2021-45046.
AWS CodeBuild
AWS CodeBuild telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228 dan CVE-2021-45046.
Amazon Route53
Route 53 telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon Linux
Amazon Linux 1 (AL1) dan Amazon Linux 2 (AL2) secara default menggunakan versi log4j yang tidak terpengaruh oleh CVE-2021-44228 atau CVE-2021-45046. Versi baru Amazon Kinesis Agent yang merupakan bagian dari AL2 menangani CVE-2021-44228 dan CVE-2021-45046. Selain itu, untuk membantu pelanggan yang membawa kode log4j mereka sendiri, Amazon Linux telah merilis paket baru yang menyertakan Hotpatch untuk Apache log4j. Detail selengkapnya bisa ditemukan di sini.
Amazon SageMaker
Amazon SageMaker menyelesaikan patching untuk masalah Apache Log4j2 (CVE-2021-44228) pada 15 Desember 2021.
Kami terus menyarankan agar pelanggan kami mengambil tindakan untuk memperbarui semua aplikasi dan layanan mereka dengan melakukan patching untuk masalah yang diketahui seperti ini. Pelanggan yang direkomendasikan untuk mengambil tindakan atas masalah ini menerima instruksi terperinci melalui PHD. Bahkan jika Anda tidak terpengaruh oleh masalah Log4j, kami menyarankan Anda memulai kembali tugas Anda atau memperbarui aplikasi Anda untuk menggunakan versi terbaru dari perangkat lunak kami.
Amazon Athena
Amazon Athena telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228. Semua versi driver Amazon Athena JDBC yang ditawarkan ke pelanggan tidak terpengaruh oleh masalah ini.
AWS Certificate Manager
Layanan AWS Certificate Manager telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Layanan ACM Private CA telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon AppFlow
Amazon AppFlow telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon Polly
Amazon Polly telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon QuickSight
Amazon QuickSight telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
AWS Textract
Layanan AWS Textract telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon Corretto
Amazon Corretto terbaru yang dirilis 19 Oktober tidak terpengaruh oleh CVE-2021-44228 karena distribusi Corretto tidak menyertakan Log4j. Kami menyarankan agar pelanggan memperbarui ke versi terbaru Log4j di semua aplikasi mereka yang menggunakannya, termasuk dependensi langsung, dependensi tidak langsung, dan jar berbayang.
AWS memperhatikan terungkapnya masalah keamanan baru-baru ini yang terkait dengan utilitas sumber terbuka Apache “Log4j2" (CVE-2021-44228).
Menanggapi masalah keamanan seperti ini menunjukkan nilai dari memiliki beberapa lapisan teknologi pertahanan, yang sangat penting untuk menjaga keamanan data dan beban kerja pelanggan kami. Kami menangani masalah ini dengan sangat serius, dan tim teknisi kelas dunia kami telah bekerja sepanjang waktu untuk tanggapan dan perbaikan kami. Kami berharap untuk segera memulihkan kondisi pertahanan penuh kami secara mendalam.
Salah satu teknologi yang telah kami kembangkan dan deploy adalah hot patch untuk aplikasi yang mungkin menyertakan Log4j. Kami juga menyediakan ini sebagai solusi sumber terbuka, yang tersedia di sini.
Bahkan dengan di-deploy-nya hot patch ini, pelanggan tetap harus berencana untuk men-deploy pustaka Log4j yang diperbarui secepat mungkin.
Informasi layanan khusus tambahan tersedia di bawah ini. Jika Anda membutuhkan bantuan atau detail tambahan, hubungi AWS Support.
Amazon Kinesis
Versi baru Kinesis Agent, yang membahas masalah pustaka Apache Log4j2 yang baru-baru ini diungkapkan (CVE-2021-44228), tersedia di sini.
Amazon Inspector
Layanan Amazon Inspector di patch terhadap masalah Log4j.
Layanan Inspector membantu mendeteksi masalah CVE-2021-44228 (Log4Shell) dalam beban kerja EC2 pelanggan dan gambar ECR. Deteksi saat ini tersedia untuk paket tingkat sistem operasi yang terpengaruh di Linux. Ini termasuk, tetapi tidak terbatas pada, apache-log4j2 dan liblog4j2-java untuk Debian; log4j, log4jmanual, dan log4j12 untuk SUSE; dan Elasticsearch untuk Alpine, Centos, Debian, Red Hat, SUSE, dan Ubuntu. Deteksi tambahan akan ditambahkan saat dampak lebih lanjut diidentifikasi oleh tim keamanan distribusi masing-masing. Inspector menguraikan arsip Java yang disimpan dalam gambar ECR dan menghasilkan temuan untuk paket atau aplikasi yang terpengaruh. Temuan ini akan diidentifikasi di konsol Inspector di bawah "CVE-2021-44228" atau "IN1-JAVA-ORGAPACHELOGGINGLOG4J-2314720 - org.apache.logging.log4j:log4j-core".
Amazon Inspector Classic
Layanan Amazon Inspector di patch terhadap masalah Log4j.
Layanan Inspector Classic membantu mendeteksi masalah CVE-2021-44228 (Log4Shell) dalam beban kerja EC2 pelanggan. Deteksi untuk CVE-2021-44228 (Log4Shell) saat ini tersedia untuk paket tingkat sistem operasi yang terpengaruh di Linux. Ini termasuk, tetapi tidak terbatas pada, apache-log4j2 dan liblog4j2-java untuk Debian; log4j, log4jmanual, dan log4j12 untuk SUSE; dan Elasticsearch untuk Alpine, Centos, Debian, Red Hat, SUSE, dan Ubuntu.
Amazon WorkSpaces/AppStream 2.0
Amazon WorkSpaces dan AppStream 2.0 tidak terpengaruh oleh CVE-2021-44228 dengan konfigurasi default. Gambar default Amazon Linux 2 WorkSpaces dan AppStream tidak berisi Log4j, dan versi Log4j yang tersedia di repositori paket default Amazon Linux 2 tidak terpengaruh oleh CVE-2021-44228. Namun, jika Anda telah men-deploy klien WorkDocs Sync ke Windows WorkSpaces, silakan lakukan tindakan yang disarankan di bawah ini.
Windows WorkSpaces secara default tidak menginstal WorkDocs Sync. Namun, WorkSpaces dulu memiliki pintasan desktop default ke penginstal klien WorkDocs Sync sebelum Juni 2021. Klien WorkDocs Sync versi 1.2.895.1 (dan yang lebih lama) berisi komponen Log4j. Jika Anda telah men-deploy versi klien WorkDocs Sync lama ke WorkSpaces, silakan mulai ulang klien Sync di WorkSpaces melalui alat pengelolaan seperti SCCM, atau instruksikan pengguna WorkSpaces Anda untuk membuka klien Sync secara manual - “Amazon WorkDocs” dari daftar program yang diinstal. Saat diluncurkan, klien Sync akan otomatis memperbarui ke versi terbaru 1.2.905.1 yang tidak terpengaruh oleh CVE-2021-44228. Aplikasi Workdocs Drive dan Workdocs Companion tidak terpengaruh oleh masalah ini.
Amazon Timestream
Amazon Timestream telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon DocumentDB
Mulai 13 Desember 2021, Amazon DocumentDB telah di patch untuk mengurangi masalah Log4j yang dirujuk dalam CVE-2021-44228.
Amazon CloudWatch
Layanan Amazon CloudWatch telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
AWS Secrets Manager
AWS Secrets Manager telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon Single Sign-On
Layanan Amazon Single Sign-On telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon RDS Oracle
Amazon RDS Oracle telah memperbarui versi Log4j2 yang digunakan dalam layanan. Akses ke instans RDS terus dibatasi oleh VPC Anda dan kontrol keamanan lainnya seperti grup keamanan dan daftar kontrol akses jaringan (ACL). Kami sangat menganjurkan Anda untuk meninjau pengaturan ini untuk memastikan pengelolaan akses yang tepat ke instans RDS Anda.
Per dokumen Oracle Support 2827611.1, basis data Oracle itu sendiri tidak terpengaruh oleh masalah ini.
Amazon Cloud Directory
Amazon Cloud Directory telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon Simple Queue Service (SQS)
Amazon Simple Queue Service (SQS) menyelesaikan patching untuk masalah Apache Log4j2 (CVE-2021-44228) untuk ingress dan egress data SQS pada 13 Desember 2021. Kami juga telah menyelesaikan patching pada seluruh sistem SQS lainnya yang menggunakan Log4j2.
AWS KMS
AWS KMS telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon Redshift
Klaster Amazon Redshift telah diperbarui secara otomatis untuk mengurangi masalah yang diidentifikasi di CVE-2021-44228.
AWS Lambda
AWS Lambda tidak memasukkan Log4j2 dalam waktu aktif terkelola atau citra kontainer dasar miliknya. Oleh karena itu, hal ini tidak terpengaruh oleh masalah yang dijelaskan di CVE-2021-44228 dan CVE-2021-45046.
Untuk kasus di mana fungsi pelanggan menyertakan versi Log4j2 yang terpengaruh, kami telah menerapkan perubahan pada waktu aktif terkelola Lambda Java dan citra kontainer dasar (Java 8, Java 8 pada AL2, dan Java 11) yang membantu memitigasi masalah di CVE-2021 -44228 dan CVE-2021-45046. Pelanggan yang menggunakan waktu aktif terkelola akan menerapkan perubahan secara otomatis. Pelanggan yang menggunakan citra kontainer perlu membangun kembali dari citra kontainer dasar terbaru, dan men-deploy ulang.
Terlepas dari perubahan ini, kami sangat menganjurkan semua pelanggan yang fungsinya termasuk Log4j2 untuk memperbarui ke versi terbaru. Secara khusus, pelanggan yang menggunakan pustaka aws-lambda-java-log4j2 di fungsi mereka harus melakukan pembaruan ke versi 1.4.0 dan men-deploy ulang fungsinya. Versi ini memperbarui dependensi utilitas Log4j2 yang mendasarinya ke versi 2.16.0. Biner aws-lambda-java-log4j2 yang diperbarui tersedia di repositori Maven dan kode sumbernya tersedia di Github.
AWS memperhatikan terungkapnya masalah keamanan baru-baru ini yang terkait dengan utilitas sumber terbuka Apache “Log4j2" (CVE-2021-44228).
Menanggapi masalah keamanan seperti ini menunjukkan nilai dari memiliki beberapa lapisan teknologi pertahanan, yang sangat penting untuk menjaga keamanan data dan beban kerja pelanggan kami. Kami menangani masalah ini dengan sangat serius, dan tim teknisi kelas dunia kami telah bekerja sepanjang waktu untuk tanggapan dan perbaikan kami. Kami berharap untuk segera memulihkan kondisi pertahanan penuh kami secara mendalam.
Kami terus menyarankan agar pelanggan kami mengambil tindakan untuk memperbarui semua aplikasi dan layanan mereka dengan melakukan patching untuk masalah yang diketahui seperti ini dan terus mengikuti panduan kami yang dirancang dengan baik.
Informasi layanan khusus tambahan tersedia di bawah ini. Jika Anda membutuhkan bantuan atau detail tambahan, hubungi AWS Support.
Amazon API Gateway
Mulai 13 Desember 2021, semua host Amazon API Gateway telah di patch untuk mengurangi masalah Log4j yang dirujuk dalam CVE-2021-44228.
Amazon CloudFront
Layanan Amazon CloudFront telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228. Layanan penanganan permintaan CloudFront yang berjalan di POP kami tidak tertulis di Java sehingga tidak terpengaruh oleh masalah ini.
Amazon Connect
Layanan Amazon Connect telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon DynamoDB
Amazon DynamoDB dan Amazon DynamoDB Accelerator (DAX) telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon EC2
Versi Log4j yang tersedia di repositori Amazon Linux 1 dan Amazon Linux 2 tidak terpengaruh oleh CVE-2021-44228. Informasi selengkapnya tentang pembaruan perangkat lunak terkait keamanan untuk Amazon Linux tersedia di Pusat Keamanan Amazon Linux.
Amazon ElastiCache
Mesin Redis Amazon ElastiCache tidak memasukkan Log4j2 dalam waktu aktif terkelola atau citra kontainer dasar miliknya. Amazon ElastiCache menyelesaikan patching masalah Apache Log4j2 (CVE-2021-44228) pada 12 Desember 2021.
Amazon EMR
CVE-2021-44228 berdampak pada Apache Log4j versi antara 2.0 dan 2.14.1 saat memproses input dari sumber yang tidak tepercaya. Klaster EMR yang diluncurkan bersama dengan perilisan EMR 5 dan EMR 6 mencakup kerangka kerja sumber terbuka seperti Apache Hive, Apache Flink, HUDI, Presto, dan Trino yang menggunakan Apache Log4j tersebut. Saat Anda meluncurkan klaster dengan konfigurasi default EMR, input dari sumber yang tidak tepercaya tidak dapat diproses.
Kami secara aktif membangun pembaruan yang memitigasi masalah yang dibahas di CVE-2021-44228 saat kerangka kerja sumber terbuka yang diinstal ke klaster EMR memproses informasi yang berasal dari sumber yang tidak tepercaya.
AWS IoT SiteWise Edge
Pembaruan untuk semua komponen AWS IoT SiteWise Edge yang menggunakan Log4j tersedia untuk deployment pada 13/12/2021. Komponen tersebut adalah: Pengumpul OPC-UA (v2.0.3), Paket pemrosesan data (v2.0.14), dan Publisher (v2.0.2). AWS menyarankan pelanggan yang menggunakan komponen tersebut untuk men-deploy versi terbaru di gateway SiteWise Edge mereka.
Amazon Keyspaces (untuk Apache Cassandra)
Amazon Keyspaces (untuk Apache Cassandra) telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon Kinesis Data Analytics
Versi Apache Flink yang didukung oleh Amazon Kinesis Data Analytics mencakup Apache Log4j versi antara 2.0 dan 2.14.1. Aplikasi Kinesis Data Analytics beroperasi di lingkungan terisolasi dengan penghuni tunggal dan tidak dapat saling berinteraksi.
Kami sedang memperbarui versi Log4j yang tersedia untuk aplikasi pelanggan Kinesis Data Analytics di seluruh wilayah AWS. Aplikasi yang dimulai atau diperbarui setelah pukul 18.30 PST pada 12/12/2021 akan secara otomatis menerima patch yang diperbarui. Pelanggan yang aplikasinya dimulai atau diperbarui sebelum waktu tersebut dapat memastikan bahwa aplikasi mereka berjalan di versi Log4j yang diperbarui dengan memanggil UpdateApplication API Kinesis Data Analytics Informasi selengkapnya tentang UpdateApplication API tersedia dalam dokumentasi layanan.
Amazon Kinesis Data Streams
Kami secara aktif melakukan patch ke semua sub-sistem yang menggunakan Log4j2 dengan menerapkan pembaruan. Kinesis Client Library (KCL) versi 2.X dan Kinesis Producer Library (KPL) tidak terpengaruh. Untuk pelanggan yang menggunakan KCL 1.x, kami telah merilis versi yang diperbarui dan kami sangat menyarankan agar semua pelanggan KCL versi 1.x meningkatkan ke KCL versi 1.14.5 (atau lebih tinggi) yang tersedia di sini.
Amazon Managed Streaming for Apache Kafka (MSK)
Kami memperhatikan terungkapnya masalah keamanan baru-baru ini (CVE-2021-44228) yang terkait dengan pustaka Apache Log4j2 dan sedang menerapkan pembaruan yang dibutuhkan. Harap perhatikan bahwa build yang ditawarkan oleh Apache Kafka dan Apache Zookeeper di MSK saat ini menggunakan Log4j 1.2.17, yang tidak terpengaruh oleh masalah tersebut. Beberapa komponen layanan MSK tertentu menggunakan pustaka Log4j > 2.0.0 dan di-patch di tempat yang dibutuhkan.
Amazon Managed Workflows for Apache Airflow (MWAA)
MWAA memiliki dua area pertimbangan berkenaan dengan masalah yang diungkapkan baru-baru ini (CVE-2021-44228), terkait dengan pustaka Apache Log4j2, yaitu: kode layanan (khusus AWS) Amazon MWAA dan kode sumber terbuka (Apache Airflow).
Mulai 14 Desember 2021, kami telah menyelesaikan semua pembaruan yang diperlukan untuk kode layanan MWAA guna menangani masalah tersebut. Apache Airflow tidak menggunakan Log4j2 dan tidak terpengaruh oleh masalah ini.
Kami sangat menganjurkan pelanggan yang telah menambahkan Log4j2 ke lingkungan mereka untuk memperbarui ke versi terbaru.
Amazon MemoryDB for Redis
Amazon MemoryDB menyelesaikan patching masalah Apache Log4j2 (CVE-2021-44228) pada 12 Desember 2021.
Amazon MQ
Amazon MQ memiliki dua area pertimbangan berkenaan dengan masalah yang diungkapkan baru-baru ini (CVE-2021-44228), terkait dengan pustaka Apache Log4j2, yaitu: kode layanan (khusus AWS) Amazon MQ dan kode sumber terbuka (broker pesan Apache ActiveMQ serta RabbitMQ).
Mulai 13 Desember 2021, kami telah menyelesaikan semua pembaruan yang diperlukan untuk kode layanan Amazon MQ guna menangani masalah tersebut.
Tidak ada pembaruan yang dibutuhkan untuk broker pesan sumber terbuka. Semua versi Apache ActiveMQ yang ditawarkan di Amazon MQ menggunakan Log4j 1.2.x, yang tidak terpengaruh oleh masalah ini. RabbitMQ tidak menggunakan Log4j dan tidak terpengaruh oleh masalah ini.
Amazon Neptune
Klaster Amazon Neptune aktif telah diperbarui secara otomatis untuk mengurangi masalah yang diidentifikasi di CVE-2021-44228.
Amazon OpenSearch Service
Amazon OpenSearch Service telah merilis pembaruan perangkat lunak layanan penting, R20211203-P2, yang berisi versi terbaru dari Log4j2 di semua wilayah. Kami sangat menyarankan agar pelanggan memperbarui klaster OpenSearch mereka ke rilis ini sesegera mungkin.
Amazon RDS
Amazon RDS dan Amazon Aurora secara aktif menangani semua penggunaan layanan Log4j2 dengan menerapkan pembaruan. Mesin basis data relasional yang dibangun RDS tidak mencakup pustaka Apache Log4j2. Kami menerapkan mitigasi yang disarankan di tempat vendor hulu terlibat. Pelanggan dapat mengamati peristiwa intermiten selama pembaruan komponen internal.
Amazon S3
Amazon S3 menyelesaikan patching untuk masalah Apache Log4j2 (CVE-2021-44228) untuk ingress dan egress data S3 pada 11 Desember 2021. Kami juga telah menyelesaikan patching pada seluruh sistem S3 lainnya yang menggunakan Log4j2.
Amazon Simple Notification Service (SNS)
Sistem Amazon SNS yang melayani lalu lintas pelanggan di patch terhadap masalah Log4j2. Kami sedang coba menerapkan patch Log4j2 ke sub-sistem yang beroperasi secara terpisah dari sistem SNS yang melayani lalu lintas pelanggan.
Amazon Simple Workflow Service (SWF)
Amazon Simple Workflow Service (SWF) telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
AWS CloudHSM
Versi AWS CloudHSM JCE SDK sebelum 3.4.1 mencakup versi Apache Log4j yang terpengaruh oleh masalah ini. Pada tanggal 10 Desember 2021, CloudHSM merilis JCE SDK v3.4.1 dengan versi tetap dari Apache Log4j. Jika Anda menggunakan versi CloudHSM JCE sebelum 3.4.1, Anda mungkin terkena dampak dan harus memitigasi masalah dengan memutakhirkan CloudHSM JCE SDK ke versi 3.4.1 atau di atasnya.
AWS Elastic Beanstalk
AWS Elastic Beanstalk menginstal Log4j dari repositori paket default Amazon Linux di platform Tomcat-nya untuk Amazon Linux 1 dan Amazon Linux 2. Versi Log4j yang tersedia di repositori Amazon Linux 1 dan Amazon Linux 2 tidak terpengaruh oleh CVE-2021-44228.
Jika Anda telah membuat perubahan konfigurasi pada penggunaan Log4j aplikasi, maka kami sarankan agar Anda mengambil tindakan guna memperbarui kode aplikasi untuk memitigasi masalah ini.
Sesuai dengan praktik kami seperti biasanya, jika versi yang di-patch dari versi repositori paket default tersebut rilis, Elastic Beanstalk akan memasukkan versi yang di-patch di perilisan versi platform Tomcat selanjutnya untuk Amazon Linux 1 dan Amazon Linux 2.
Informasi selengkapnya tentang pembaruan perangkat lunak terkait keamanan untuk Amazon Linux tersedia di Pusat Keamanan Amazon Linux.
AWS Glue
AWS Glue mengetahui masalah keamanan diungkapkan baru-baru ini terkait dengan utilitas sumber terbuka Apache “Log4j2" (CVE-2021-44228). Kami telah memperbarui armada bidang kendali yang menyajikan API AWS Glue untuk semua versi AWS Glue.
AWS Glue membuat lingkungan Spark yang diisolasi di tingkat jaringan dan manajemen dari seluruh lingkungan Spark lainnya di dalam akun layanan AWS Glue. Tugas ETL Anda dieksekusi di lingkungan penghuni tunggal. Jika Anda telah mengunggah file jar khusus untuk digunakan dalam tugas ETL atau Titik Akhir Pengembangan yang menyertakan versi Apache Log4j tertentu, maka Anda disarankan untuk memperbarui jar Anda untuk menggunakan versi terbaru Apache Log4j.
AWS Glue juga secara proaktif menerapkan pembaruan ke lingkungan Spark baru di seluruh wilayah yang didukung. Apabila Anda memiliki pertanyaan atau memerlukan bantuan tambahan, silakan hubungi AWS Support.
AWS Greengrass
Pembaruan untuk seluruh komponen V2 AWS Greengrass yang menggunakan Log4j tersedia untuk deployment mulai 10/12/2021. Komponen tersebut adalah: Stream Manager (2.0.14) dan Secure Tunneling (1.0.6). AWS menyarankan pelanggan yang menggunakan komponen Greengrass tersebut untuk men-deploy versi terbaru di perangkat mereka.
Fitur Stream Manager Greengrass versi 1.10.x dan 1.11.x menggunakan Log4j. Pembaruan untuk fitur Stream Manager dimasukkan di dalam patch Greengrass versi 1.10.5 dan 1.11.5, di mana keduanya tersedia mulai 12/12/2021. Kami sangat menyarankan pelanggan pengguna versi 1.10.x dan 1.11 yang mengaktifkan Stream Manager di perangkat mereka (atau mungkin mengaktifkannya di masa mendatang) untuk memperbarui perangkat mereka ke versi terbaru.
AWS Lake Formation
Host layanan AWS Lake Formation diperbarui ke versi Log4j terbaru untuk menangani masalah dengan versi yang dirujuk di CVE-2021-44228.
AWS Lambda
AWS Lambda tidak memasukkan Log4j2 dalam waktu aktif terkelola atau citra kontainer dasar miliknya. Oleh karena itu, hal ini tidak terpengaruh oleh masalah yang dijelaskan di CVE-2021-44228. Pelanggan yang menggunakan pustaka aws-lambda-java-log4j2 di fungsi mereka akan perlu melakukan pembaruan ke versi 1.3.0 dan men-deploy ulang.
AWS SDK
AWS SDK for Java menggunakan fasad pencatatan, dan tidak memiliki dependensi waktu aktif pada Log4j. Saat ini, kami tidak yakin bahwa perubahan AWS SDK for Java perlu dilakukan karena masalah ini.
AWS Step Functions
AWS Step Functions telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
AWS Web Application Firewall (WAF)
Untuk meningkatkan deteksi dan mitigasi terkait masalah keamanan Log4j baru-baru ini, pelanggan CloudFront, Application Load Balancer (ALB), API Gateway, dan AppSync dapat secara opsional mengaktifkan AWS WAF dan menerapkan dua AWS Managed Rules (AMR): AWSManagedRulesKnownBadInputsRuleSet dan AWSManagedRulesAnonymousIpList.
AWSManagedRulesKnownBadInputsRuleSet memeriksa uri permintaan, isi, dan header yang umum digunakan, sementara AWSManagedRulesAnonymousIpList membantu memblokir permintaan dari layanan yang mengizinkan pengaburan identitas penonton. Anda dapat menerapkan aturan ini dengan membuat AWS WAF web ACL, menambahkan satu atau kedua aturan ke ACL web Anda, lalu mengaitkan ACL web dengan distribusi CloudFront, ALB, API Gateway, atau API AppSync GraphQL Anda.
Kami terus mengulangi Grup Aturan AWSManagedRulesKnownBadInputsRuleSet saat kami mempelajari lebih lanjut. Untuk menerima pembaruan otomatis ke AWSManagedRulesKnownBadInputsRuleSet, silakan pilih versi default. Untuk pelanggan yang menggunakan AWS WAF Classic, Anda harus bermigrasi ke AWS WAF atau membuat syarat kecocokan ekspresi reguler khusus. Pelanggan dapat menggunakan AWS Firewall Manager yang memungkinkan Anda mengonfigurasi aturan AWS WAF di beberapa akun dan sumber daya AWS dari satu tempat. Anda dapat mengelompokkan aturan, membuat kebijakan, dan menerapkan kebijakan tersebut secara terpusat di seluruh infrastruktur Anda.
NICE
Karena CVE di pustaka Apache Log4j, termasuk di EnginFrame dari versi 2020.0 hingga 2021.0-r1307, NICE menyarankan agar Anda melakukan pemutakhiran ke versi EnginFrame terbaru, atau memperbarui pustaka Log4j di instalasi EnginFrame Anda, mengikuti instruksi di situs web dukungan.
Jangan ragu untuk menghubungi kami.
AWS memperhatikan terungkapnya masalah keamanan baru-baru ini yang terkait dengan utilitas sumber terbuka Apache “Log4j2" (CVE-2021-44228). Kami secara aktif memantau dan menangani masalah ini untuk setiap layanan AWS, baik yang menggunakan Log4j2 maupun yang menyediakannya untuk pelanggan sebagai bagian dari layanan mereka.
Kami sangat mendorong pelanggan yang mengelola lingkungan berisi Log4j2 untuk melakukan pembaruan ke versi terbaru, atau mekanisme pembaruan perangkat lunak sistem operasi mereka. Informasi layanan khusus tambahan tersedia di bawah ini.
Jika Anda membutuhkan bantuan atau detail tambahan, hubungi AWS Support.
S3
S3 menyelesaikan patching untuk masalah Apache Log4j2 (CVE-2021-44228) untuk ingress dan egress data S3 pada 11 Desember 2021 Kami juga telah menyelesaikan patching pada seluruh sistem S3 lainnya yang menggunakan Log4j2.
Amazon OpenSearch
Amazon OpenSearch Service men-deploy pembaruan perangkat lunak layanan, versi R20211203-P2, yang berisi versi terbaru dari Log4j2. Kami akan memberikan notifikasi kepada pelanggan apabila pembaruan telah tersedia di wilayah mereka dan memperbarui buletin ini jika pembaruan telah tersedia di seluruh dunia.
AWS Lambda
AWS Lambda tidak memasukkan Log4j2 dalam waktu aktif terkelola atau citra kontainer dasar miliknya. Oleh karena itu, hal ini tidak terpengaruh oleh masalah yang dijelaskan di CVE-2021-44228. Pelanggan yang menggunakan pustaka aws-lambda-java-log4j2 di fungsi mereka akan perlu melakukan pembaruan ke versi 1.3.0 dan men-deploy ulang.
AWS CloudHSM
Versi CloudHSM JCE SDK sebelum 3.4.1 mencakup versi Apache Log4j yang terpengaruh oleh masalah ini. Pada tanggal 10 Desember 2021, CloudHSM merilis JCE SDK v3.4.1 dengan versi tetap dari Apache Log4j. Jika Anda menggunakan versi CloudHSM JCE sebelum 3.4.1, Anda mungkin terkena dampak dan harus memitigasi masalah dengan memutakhirkan CloudHSM JCE SDK ke versi 3.4.1 atau di atasnya.
Amazon EC2
Versi Log4j yang tersedia di repositori Amazon Linux 1 dan Amazon Linux 2 tidak terpengaruh oleh CVE-2021-44228. Informasi selengkapnya tentang pembaruan perangkat lunak terkait keamanan untuk Amazon Linux tersedia di Pusat Keamanan Amazon Linux.
API Gateway
Kami sedang memperbarui API Gateway agar dapat menggunakan versi Log4j2 yang memitigasi masalah. Anda dapat mengamati peningkatan latensi periodik untuk beberapa API selama pembaruan tersebut.
AWS Greengrass
Pembaruan untuk seluruh komponen V2 Greengrass yang menggunakan Log4j tersedia untuk deployment mulai 10/12/2021. Komponen tersebut adalah: Stream Manager (2.0.14) dan Secure Tunneling (1.0.6). AWS menyarankan pelanggan yang menggunakan komponen Greengrass tersebut untuk men-deploy versi terbaru di perangkat mereka.
Fitur Stream Manager Greengrass versi 1.10.x dan 1.11.x menggunakan Log4j. Pembaruan untuk fitur Stream Manager dimasukkan di dalam patch Greengrass versi 1.10.5 dan 1.11.5, di mana keduanya tersedia mulai 12/12/2021. Kami sangat menyarankan pelanggan pengguna versi 1.10.x dan 1.11 yang mengaktifkan Stream Manager di perangkat mereka (atau mungkin mengaktifkannya di masa mendatang) untuk memperbarui perangkat mereka ke versi terbaru.
CloudFront
Layanan CloudFront telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228. Layanan penanganan permintaan CloudFront yang berjalan di POP kami tidak tertulis di Java sehingga tidak terpengaruh oleh masalah ini.
Elastic BeanStalk
AWS Elastic Beanstalk menginstal Log4j dari repositori paket default Amazon Linux di platform Tomcat-nya untuk Amazon Linux 1 dan Amazon Linux 2. Versi Log4j yang tersedia di repositori Amazon Linux 1 dan Amazon Linux 2 tidak terpengaruh oleh CVE-2021-44228.
Jika Anda telah membuat perubahan konfigurasi pada penggunaan Log4j aplikasi, maka kami sarankan agar Anda mengambil tindakan guna memperbarui kode aplikasi untuk memitigasi masalah ini.
Sesuai dengan praktik kami seperti biasanya, jika versi yang di-patch dari versi repositori paket default tersebut rilis, Elastic Beanstalk akan memasukkan versi yang di-patch di perilisan versi platform Tomcat selanjutnya untuk Amazon Linux 1 dan Amazon Linux 2.
Informasi selengkapnya tentang pembaruan perangkat lunak terkait keamanan untuk Amazon Linux tersedia di Pusat Keamanan Amazon Linux.
EMR
CVE-2021-44228 berdampak pada Apache Log4j versi antara 2.0 dan 2.14.1 saat memproses input dari sumber yang tidak tepercaya. Klaster EMR yang diluncurkan bersama dengan perilisan EMR 5 dan EMR 6 mencakup kerangka kerja sumber terbuka seperti Apache Hive, Flink, HUDI, Presto, dan Trino yang menggunakan Apache Log4j tersebut. Saat Anda meluncurkan klaster dengan konfigurasi default EMR, input dari sumber yang tidak tepercaya tidak dapat diproses.
Kami secara aktif membangun pembaruan yang memitigasi masalah yang dibahas di CVE-2021-44228 saat kerangka kerja sumber terbuka yang diinstal ke klaster EMR memproses informasi yang berasal dari sumber yang tidak tepercaya.
Lake Formation
Host layanan Lake Formation secara proaktif diperbarui ke versi Log4j terbaru untuk menangani masalah keamanan dengan versi yang dirujuk di CVE-2021-44228.
AWS SDK
AWS SDK for Java menggunakan fasad pencatatan, dan tidak memiliki dependensi waktu aktif pada log4j. Saat ini, kami tidak yakin bahwa perubahan AWS SDK for Java perlu dilakukan karena masalah ini.
AMS
Kami secara aktif memantau dan menangani masalah ini untuk setiap layanan AMS yang menggunakan Log4j2. Kami sangat mendorong pelanggan yang mengelola lingkungan berisi Log4j2 untuk melakukan pembaruan ke versi terbaru, atau dengan menggunakan mekanisme pembaruan perangkat lunak sistem operasi mereka.
Amazon Neptune
Amazon Neptune menggolongkan pustaka Apache Log4j2 sebagai komponen periferal, tetapi masalah ini diyakini tidak akan berdampak pada pengguna Neptune. Sebagai pencegahan, klaster Neptune akan secara otomatis diperbarui agar dapat menggunakan versi Log4j2 yang menangani masalah tersebut. Pelanggan dapat mengamati peristiwa intermiten selama pembaruan.
NICE
Karena CVE di pustaka Apache Log4j, termasuk di EnginFrame dari versi 2020.0 hingga 2021.0-r1307, NICE menyarankan agar Anda memutakhirkan ke versi EnginFrame terbaru, atau memperbarui pustaka Log4j di instalasi EnginFrame Anda dengan mengikuti instruksi di situs web dukungan.
Jangan ragu untuk menghubungi kami.
Kafka
Managed Streaming for Apache Kafka memperhatikan terungkapnya masalah keamanan baru-baru ini (CVE-2021-44228) yang terkait dengan pustaka Apache Log4j2 dan sedang menerapkan pembaruan yang dibutuhkan. Harap perhatikan bahwa build yang ditawarkan oleh Apache Kafka dan Apache Zookeeper di MSK saat ini menggunakan log4j 1.2.17, yang tidak terpengaruh oleh masalah tersebut. Beberapa komponen layanan MSK tertentu menggunakan pustaka log4j > 2.0.0 dan di-patch di tempat yang dibutuhkan.
AWS Glue
AWS Glue mengetahui masalah keamanan diungkapkan baru-baru ini terkait dengan utilitas sumber terbuka Apache “Log4j2" (CVE-2021-44228). Kami telah memperbarui armada bidang kendali yang menyajikan API AWS Glue untuk semua versi AWS Glue.
AWS Glue membuat lingkungan Spark yang diisolasi di tingkat jaringan dan manajemen dari seluruh lingkungan Spark lainnya di dalam akun layanan AWS Glue. Tugas ETL Anda dieksekusi di lingkungan penghuni tunggal. Jika tugas ETL Anda memuat versi tertentu dari Apache Log4j, Anda disarankan untuk memperbarui skrip agar dapat menggunakan versi terbaru Apache Log4j. Jika Anda menggunakan titik akhir pengembangan AWS Glue untuk menulis skrip, Anda juga disarankan untuk memperbarui versi Log4j yang Anda gunakan di sana.
AWS Glue juga secara proaktif menerapkan pembaruan ke lingkungan Spark baru di seluruh wilayah yang didukung. Apabila Anda memiliki pertanyaan atau memerlukan bantuan tambahan, hubungi kami melalui AWS Support.
RDS
Amazon RDS dan Amazon Aurora secara aktif menangani semua penggunaan layanan Log4j2 dengan menerapkan pembaruan. Mesin basis data relasional yang dibangun RDS tidak mencakup pustaka Apache Log4j. Kami menerapkan mitigasi yang disarankan di tempat vendor hulu terlibat. Pelanggan dapat mengamati peristiwa intermiten selama pembaruan komponen internal.
Amazon Connect
Layanan Amazon Connect telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon DynamoDB
Amazon DynamoDB dan Amazon DynamoDB Accelerator (DAX) telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon Keyspaces (untuk Apache Cassandra)
Amazon Keyspaces (untuk Apache Cassandra) telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228.
Amazon MQ
Amazon MQ memiliki dua area pertimbangan berkenaan dengan masalah yang diungkapkan baru-baru ini (CVE-2021-44228), terkait dengan pustaka Apache Log4j2, yaitu: kode layanan (khusus AWS) Amazon MQ dan kode sumber terbuka (broker pesan Apache ActiveMQ serta RabbitMQ).
Mulai 13 Desember 2021, kami telah menyelesaikan semua pembaruan yang diperlukan untuk kode layanan Amazon MQ guna menangani masalah tersebut.
Tidak ada pembaruan yang dibutuhkan untuk broker pesan sumber terbuka. Semua versi Apache ActiveMQ yang ditawarkan di Amazon MQ menggunakan Log4j 1.2.x, yang tidak terpengaruh oleh masalah ini. RabbitMQ tidak menggunakan Log4j dan tidak terpengaruh oleh masalah ini.
Kinesis Data Analytics
Versi Apache Flink yang didukung oleh Kinesis Data Analytics mencakup Apache Log4j versi antara 2.0 dan 2.14.1. Aplikasi Kinesis Data Analytics beroperasi di lingkungan terisolasi dengan penghuni tunggal dan tidak dapat saling berinteraksi.
Kami sedang memperbarui versi Log4j yang tersedia untuk aplikasi pelanggan Kinesis Data Analytics di seluruh wilayah AWS. Aplikasi yang dimulai atau diperbarui setelah pukul 18.30 PST pada 12/12/2021 akan secara otomatis menerima patch yang diperbarui. Pelanggan yang aplikasinya dimulai atau diperbarui sebelum waktu tersebut dapat memastikan bahwa aplikasi mereka berjalan di versi Log4j yang diperbarui dengan memanggil UpdateApplication API Kinesis Data Analytics Lihat informasi selengkapnya tentang UpdateApplication API.
AWS memperhatikan terungkapnya masalah keamanan baru-baru ini yang terkait dengan utilitas sumber terbuka Apache “Log4j2" (CVE-2021-44228). Kami secara aktif memantau dan menangani masalah ini untuk setiap layanan AWS, baik yang menggunakan Log4j2 maupun yang menyediakannya untuk pelanggan sebagai bagian dari layanan mereka.
Kami sangat mendorong pelanggan yang mengelola lingkungan berisi Log4j2 untuk melakukan pembaruan ke versi terbaru, atau mekanisme pembaruan perangkat lunak sistem operasi mereka.
Telah dilaporkan bahwa menggunakan Log4j2 pada JDK setelah 8u121 atau 8u191 (termasuk JDK 11 dan yang lebih baru) memitigasi masalah, tetapi ini hanya mitigasi parsial. Satu-satunya solusi yang komprehensif adalah dengan memutakhirkan Log4j2 ke versi 2.15, dan versi Log4j2 sebelum 2.15 harus dianggap terpengaruh terlepas dari versi atau distribusi JDK yang digunakan.
Informasi layanan khusus tambahan tersedia di bawah ini.
Jika Anda membutuhkan bantuan atau detail tambahan, hubungi AWS Support.
API Gateway
Kami sedang memperbarui API Gateway agar dapat menggunakan versi Log4j2 yang memitigasi masalah. Anda dapat mengamati peningkatan latensi periodik untuk beberapa API selama pembaruan tersebut.
AWS Greengrass
Pembaruan untuk seluruh komponen V2 Greengrass yang menggunakan Apache Log4j2 tersedia untuk deployment sejak 10/12/2021. Komponen tersebut adalah: Stream Manager (2.0.14) dan Secure Tunneling (1.0.6). AWS menyarankan pelanggan yang menggunakan komponen Greengrass tersebut untuk men-deploy versi terbaru di perangkat mereka.
Pembaruan untuk Greengrass versi 1.10 dan 1.11 diharapkan akan tersedia pada 17/12/2021. Pelanggan yang menggunakan Stream Manager di perangkat tersebut disarankan untuk memperbarui perangkat mereka segera setelah biner Greengrass tersedia untuk versi tersebut. Sementara itu, pelanggan harus memverifikasi bahwa kode lambda kustom mereka yang menggunakan Stream Manager pada Greengrass 1.10 atau 1.11 tidak menggunakan nama pengaliran dan nama file yang berubah-ubah (untuk pengekspor S3) di luar kontrol pengguna, misalnya nama pengaliran atau nama file yang berisi teks “${".
Amazon MQ
Amazon MQ memiliki dua area pertimbangan berkenaan dengan masalah yang diungkapkan baru-baru ini (CVE-2021-44228), terkait dengan pustaka Apache Log4j2, yaitu: kode layanan (khusus AWS) Amazon MQ dan kode sumber terbuka (broker pesan Apache ActiveMQ serta RabbitMQ).
Kami sedang menerapkan pembaruan yang diperlukan pada kode layanan Amazon MQ untuk menangani masalah ini.
Tidak ada pembaruan yang dibutuhkan untuk broker pesan sumber terbuka. Semua versi Apache ActiveMQ ditawarkan di Amazon MQ menggunakan Log4j 1.x, yang tidak terpengaruh oleh masalah ini. RabbitMQ tidak menggunakan Log4j2 dan tidak terpengaruh oleh masalah ini.
CloudFront
Layanan CloudFront telah diperbarui untuk memitigasi masalah yang teridentifikasi di CVE-2021-44228. Layanan penanganan permintaan CloudFront yang berjalan di POP kami tidak tertulis di Java sehingga tidak terpengaruh oleh masalah ini.
AWS Elastic Beanstalk
AWS Elastic Beanstalk menginstal Log4j dari repositori paket default Amazon Linux di platform Tomcat-nya untuk Amazon Linux 1 dan Amazon Linux 2. Versi Log4j yang tersedia di repositori Amazon Linux 1 dan Amazon Linux 2 tidak terpengaruh oleh CVE-2021-44228.
Jika Anda telah membuat perubahan konfigurasi pada penggunaan Log4j aplikasi, maka kami sarankan agar Anda mengambil tindakan guna memperbarui kode aplikasi untuk memitigasi masalah ini.
Sesuai dengan praktik kami seperti biasanya, jika versi yang di-patch dari versi repositori paket default tersebut rilis, Elastic Beanstalk akan memasukkan versi yang di-patch di perilisan versi platform Tomcat selanjutnya untuk Amazon Linux 1 dan Amazon Linux 2.
Informasi selengkapnya tentang pembaruan perangkat lunak terkait keamanan untuk Amazon Linux tersedia di Pusat Keamanan Amazon Linux.
EMR
CVE-2021-44228 berdampak pada Apache Log4j versi antara 2.0 dan 2.14.1 saat memproses input dari sumber yang tidak tepercaya. Klaster EMR yang diluncurkan bersama dengan perilisan EMR 5 dan EMR 6 mencakup kerangka kerja sumber terbuka seperti Apache Hive, Flink, HUDI, Presto, dan Trino yang menggunakan Apache Log4j tersebut. Saat Anda meluncurkan klaster dengan konfigurasi default EMR, input dari sumber yang tidak tepercaya tidak dapat diproses.
Kami secara aktif membangun pembaruan yang memitigasi masalah yang dibahas di CVE-2021-44228 saat kerangka kerja sumber terbuka yang diinstal ke klaster EMR memproses informasi yang berasal dari sumber yang tidak tepercaya.
Lake Formation
Host layanan Lake Formation secara proaktif diperbarui ke versi Log4j terbaru untuk menangani masalah dengan versi yang dirujuk di CVE-2021-44228.
S3
Ingress dan egress data S3 di-patch terhadap masalah Log4j2. Kami sedang coba menerapkan patch Log4j2 ke sistem S3 yang beroperasi secara terpisah dari ingress dan egress data S3.
AWS SDK
AWS SDK for Java menggunakan fasad pencatatan, dan tidak memiliki dependensi waktu aktif pada log4j. Saat ini, kami tidak yakin bahwa perubahan AWS SDK for Java perlu dilakukan karena masalah ini.
AMS
Kami secara aktif memantau dan menangani masalah ini untuk setiap layanan AMS yang menggunakan Log4j2. Kami sangat mendorong pelanggan yang mengelola lingkungan berisi Log4j2 untuk melakukan pembaruan ke versi terbaru, atau dengan menggunakan mekanisme pembaruan perangkat lunak sistem operasi mereka.
AMS menyarankan deploying pada Web Application Firewall (WAF) untuk seluruh titik akhir aplikasi yang dapat diakses dengan internet. Layanan AWS WAF dapat dikonfigurasi untuk menyediakan lapisan pertahanan tambahan terhadap masalah ini dengan men-deploy kumpulan aturan AWSManagedRulesAnonymousIpList (yang berisi aturan untuk memblokir sumber yang diketahui untuk menganonimkan informasi klien, seperti simpul TOR) dan kumpulan aturan AWSManagedRulesKnownBadInputsRuleSet (yang memeriksa URI, isi permintaan, serta header yang umum digunakan untuk membantu memblokir permintaan yang terkait dengan Log4j dan masalah lainnya).
AMS akan terus memantau masalah ini dan menyediakan rekomendasi serta detail tambahan apabila telah tersedia.
Amazon Neptune
Amazon Neptune menggolongkan pustaka Apache Log4j2 sebagai komponen periferal, tetapi masalah ini diyakini tidak akan berdampak pada pengguna Neptune. Sebagai pencegahan, klaster Neptune akan secara otomatis diperbarui agar dapat menggunakan versi Log4j2 yang menangani masalah tersebut. Pelanggan dapat mengamati peristiwa intermiten selama pembaruan.
NICE
Karena CVE di pustaka Apache Log4j, termasuk di EnginFrame dari versi 2020.0 hingga 2021.0-r1307, NICE menyarankan agar Anda melakukan pemutakhiran ke versi EnginFrame terbaru, atau memperbarui pustaka Log4j di instalasi EnginFrame Anda, mengikuti instruksi di situs web dukungan.
Jangan ragu untuk menghubungi kami.
Kafka
Managed Streaming for Apache Kafka memperhatikan terungkapnya masalah keamanan baru-baru ini (CVE-2021-44228) yang terkait dengan pustaka Apache Log4j2 dan sedang menerapkan pembaruan yang dibutuhkan. Harap perhatikan bahwa build yang ditawarkan oleh Apache Kafka dan Apache Zookeeper di MSK saat ini menggunakan log4j 1.2.17, yang tidak terpengaruh oleh masalah tersebut. Beberapa komponen layanan MSK tertentu menggunakan pustaka log4j > 2.0.0 dan di-patch di tempat yang dibutuhkan.
AWS Glue
AWS Glue mengetahui masalah keamanan diungkapkan baru-baru ini terkait dengan utilitas sumber terbuka Apache “Log4j2" (CVE-2021-44228). Kami telah memperbarui armada bidang kendali yang menyajikan API AWS Glue untuk semua versi AWS Glue.
AWS Glue membuat lingkungan Spark yang diisolasi di tingkat jaringan dan manajemen dari seluruh lingkungan Spark lainnya di dalam akun layanan AWS Glue. Tugas ETL Anda dieksekusi di lingkungan penghuni tunggal. Jika tugas ETL Anda memuat versi tertentu dari Apache Log4j, Anda disarankan untuk memperbarui skrip agar dapat menggunakan versi terbaru Apache Log4j. Jika Anda menggunakan titik akhir pengembangan AWS Glue untuk menulis skrip, Anda juga disarankan untuk memperbarui versi Log4j yang Anda gunakan di sana.
AWS Glue juga secara proaktif menerapkan pembaruan ke lingkungan Spark baru di seluruh wilayah yang didukung. Apabila Anda memiliki pertanyaan atau memerlukan bantuan tambahan, hubungi kami melalui AWS Support.
RDS
Amazon RDS dan Amazon Aurora secara aktif menangani semua penggunaan layanan Log4j2 dengan menerapkan pembaruan. Mesin basis data relasional yang dibangun RDS tidak mencakup pustaka Apache Log4j. Kami menerapkan mitigasi yang disarankan di tempat vendor hulu terlibat. Pelanggan dapat mengamati peristiwa intermiten selama pembaruan komponen internal.
OpenSearch
Amazon OpenSearch Service men-deploy pembaruan perangkat lunak layanan, versi R20211203-P2, yang berisi versi terbaru dari Log4j2. Kami akan memberikan notifikasi kepada pelanggan apabila pembaruan telah tersedia di wilayah mereka dan memperbarui buletin ini jika pembaruan telah tersedia di seluruh dunia.