AWS è a conoscenza dei problemi recentemente divulgati relativi all'utility open source Apache "Log4j2" (CVE-2021-44228 and CVE-2021-45046).
Rispondere a problemi di sicurezza come questo dimostra quanto valore abbia avere a disposizione più livelli di tecnologie difensive, di fondamentale importanza per mantenere la sicurezza dei dati e dei carichi di lavoro dei nostri clienti.
Stiamo considerando il problema molto seriamente e il nostro team di ingegneri di punta ha completamente implementato la hot patch Java sviluppata da Amazon, disponibile qui a tutti i servizi AWS. La hot patch aggiorna la VM di Java per disabilitare il caricamento della classe Java Naming and Directory Interface (JNDI), sostituendola con un messaggio di notifica, che mitiga CVE-2021-44228 e CVE-2021-45046. A breve completeremo l'implementazione della libreria Log4j aggiornata a tutti i nostri servizi. Maggiori informazioni sulla hotpatch di Java sono disponibili su https://aws.amazon.com/blogs/security/open-source-hotpatch-for-apache-log4j-vulnerability/.
Anche con questa hot patch implementata, i clienti dovrebbero comunque implementare una libreria Log4j aggiornata il più rapidamente possibile, come stiamo facendo su AWS.
Per maggiori dettagli su come rilevare e porre rimedio ai CVE di Log4j usando i servizi AWS, leggi il nostro post di blog più recente qui.
Non sono richiesti ulteriori aggiornamenti specifici per il servizio dopo questo bollettino finale.
Per maggiori dettagli o se hai bisogno di assistenza, contatta AWS Support.
Amazon Connect
Amazon Connect è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228.
Consigliamo ai clienti di valutare i componenti dell'ambiente che sono al di fuori del confine del servizio Amazon Connect (come le funzioni Lambda che sono chiamate dai flussi di contatto) che possono richiedere una mitigazione separata/aggiuntiva del cliente.
Amazon Chime
I servizi Amazon Chime SDK sono stati aggiornati per mitigare i problemi identificati in CVE-2021-44228 e CVE-2021-45046.
I servizi Amazon Chime sono stati aggiornati per mitigare i problemi identificati in CVE-2021-44228 e CVE-2021-45046.
Amazon EMR
CVE-2021-44228 interessa le versioni di Apache Log4j comprese tra 2.0 e 2.14.1 durante l'elaborazione di input da fonti non attendibili. I cluster EMR lanciati con le versioni EMR 5 ed EMR 6 includono framework open source come Apache Hive, Apache Flink, HUDI, Presto e Trino, che utilizzano queste versioni di Apache Log4j. Un cluster avviato con la configurazione di default EMR non elabora gli input da fonti non attendibili. Molti clienti usano i framework open source installati sui cluster EMR per elaborare e registrare input da fonti non attendibili. Pertanto, AWS consiglia di applicare la soluzione descritta qui.
Amazon Fraud Detector
I servizi Amazon Fraud Detector sono stati aggiornati per mitigare i problemi identificati in CVE-2021-44228.
Amazon Kendra
Amazon Kendra è stato aggiornato per mitigare CVE-2021-44228.
Amazon Lex
Amazon Lex è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228.
Amazon Lookout for Equipment
Amazon Lookout for Equipment è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228.
Amazon Macie
Il servizio Amazon Macie è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228.
Amazon Macie Classic
Il servizio Amazon Macie Classic è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228.
Amazon Monitron
Amazon Monitron è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228.
Amazon RDS
Amazon RDS e Amazon Aurora sono stati aggiornati per mitigare i problemi identificati in CVE-2021-44228.
Amazon Rekognition
I servizi Amazon Rekognition sono stati aggiornati per mitigare i problemi identificati in CVE-2021-44228.
Amazon VPC
Amazon VPC, compresi i servizi Internet Gateway e Virtual Gateway, sono stati aggiornati per mitigare il problema Log4j a cui si fa riferimento in CVE-2021-44228.
AWS AppSync
AWS AppSync è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228 e CVE-2021-45046.
AWS Certificate Manager
I servizi AWS Certificate Manager sono stati aggiornati per mitigare i problemi identificati in CVE-2021-44228.
I servizi ACM Private CA sono stati aggiornati per mitigare i problemi identificati in CVE-2021-44228.
AWS Service Catalog
AWS Service Catalog è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228.
AWS Systems Manager
Il servizio AWS Systems Manager è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228. Il Systems Manager Agent non è interessato da questo problema.
AWS è a conoscenza dei problemi recentemente divulgati relativi all'utility open source Apache "Log4j2" (CVE-2021-44228 and CVE-2021-45046).
Rispondere a problemi di sicurezza come questo dimostra quanto valore abbia avere a disposizione più livelli di tecnologie difensive, di fondamentale importanza per mantenere la sicurezza dei dati e dei carichi di lavoro dei nostri clienti. Stiamo valutando questo problema molto seriamente e il nostro team di ingegneri di punta ha lavorato 24 ore su 24 sulla risposta e per una risoluzione. Ci aspettiamo di ripristinare rapidamente il nostro stato completo di difesa approfondita.
Una delle tecnologie che abbiamo sviluppato e implementato ampiamente all'interno di AWS è una hot patch per le applicazioni che possono includere Log4j. Questa hot patch aggiorna la VM di Java per disabilitare il caricamento della classe Java Naming and Directory Interface (JNDI), sostituendola con un messaggio di notifica, una mitigazione efficace di CVE-2021-44228 e CVE-2021-45046.
La abbiamo anche resa disponibile come soluzione open-source, disponibile qui.
Anche con questa hot patch implementata, i clienti dovrebbero comunque implementare una libreria Log4j aggiornata il più rapidamente possibile.
Per maggiori dettagli su come rilevare e porre rimedio ai CVE di Log4j usando i servizi AWS, leggi il nostro post di blog più recente qui.
Di seguito sono fornite ulteriori informazioni specifiche del servizio. Per maggiori dettagli o se hai bisogno di assistenza, contatta AWS Support.
Amazon EKS, Amazon ECS e AWS Fargate
Per aiutare a mitigare l'impatto dei problemi di sicurezza dell'utility open-source Apache "Log4j2" (CVE-2021-44228 e CVE-2021-45046) sui container dei clienti, Amazon EKS, Amazon ECS e AWS Fargate stanno implementando un aggiornamento basato su Linux (hot-patch). Questa hot-patch richiederà il consenso esplicito del cliente per l'utilizzo e disabilita le ricerche JNDI dalla libreria Log4J2 nei container dei clienti. Questi aggiornamenti sono disponibili come pacchetto Amazon Linux per i clienti Amazon ECS, come DaemonSet per gli utenti Kubernetes su AWS e saranno nelle versioni supportate della piattaforma AWS Fargate.
I clienti che eseguono applicazioni basate su Java su container Windows sono invitati a seguire la guida di Microsoft qui.
Amazon ECR Public e Amazon ECR
Le immagini di proprietà di Amazon pubblicate con un account verificato su Amazon ECR Public non sono interessate dal problema descritto in CVE-2021-4422. Per le immagini di proprietà del cliente su Amazon ECR, AWS offre Scansione avanzata con Amazon Inspector, che è progettato per scansionare continuamente le immagini dei container per problemi di sicurezza noti, comprese le immagini dei container contenenti CVE-2021-44228. I risultati sono riportati nelle console di Inspector ed ECR. Inspector include una prova gratuita di 15 giorni con la scansione gratuita dell'immagine del container per i nuovi account di Inspector. I clienti che utilizzano immagini in ECR Public da editori di terze parti, possono usare la caratteristica Pull Through Cache di ECR lanciata di recente per copiare quelle immagini da ECR Public al loro registro ECR e usare la scansione di Inspector per rilevare i problemi di sicurezza.
Amazon Cognito
I servizi Amazon Cognito sono stati aggiornati per mitigare i problemi identificati in CVE-2021-44228.
Amazon Pinpoint
I servizi Amazon Pinpoint sono stati aggiornati per mitigare i problemi identificati in CVE-2021-44228.
Amazon EventBridge
Amazon EventBridge è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228.
Elastic Load Balancing
I servizi Elastic Load Balancing sono stati aggiornati per mitigare i problemi identificati in CVE-2021-44228. Tutti gli Elastic Load Balancer, così come Classic, Application, Network e Gateway, non sono scritti in Java e quindi non sono stati interessati da questo problema.
AWS CodePipeline
AWS CodePipeline è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228 e CVE-2021-45046.
AWS CodeBuild
AWS CodeBuild è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228 e CVE-2021-45046.
Amazon Route53
Route 53 è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228.
Amazon Linux
Amazon Linux 1 (AL1) e Amazon Linux 2 (AL2) utilizzano di default una versione di log4j che non è interessata da CVE-2021-44228 o CVE-2021-45046. Una nuova versione di Amazon Kinesis Agent che fa parte di AL2 risolve CVE-2021-44228 e CVE-2021-45046. Inoltre, per aiutare i clienti che portano il proprio codice log4j, Amazon Linux ha rilasciato un nuovo pacchetto che include l'Hotpatch per Apache log4j. Per ulteriori informazioni, consulta questa pagina.
Amazon SageMaker
Amazon SageMaker ha completato la patch per il problema Apache Log4j2 (CVE-2021-44228) il 15 dicembre 2021.
Continuiamo a consigliare ai nostri clienti di aggiornare tutte le applicazioni e servizi con patch per problemi noti come questo. I clienti a cui è stato consigliato di intervenire su questo problema hanno ricevuto istruzioni dettagliate tramite PHD. Anche se non sei interessato dal problema Log4j, ti consigliamo di riavviare il processo o di aggiornare la tua applicazione per utilizzare l'ultima versione del nostro software.
Amazon Athena
Amazon Athena è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228. Tutte le versioni del driver JDBC di Amazon Athena vendute ai clienti non sono state interessate da questo problema.
AWS Certificate Manager
I servizi AWS Certificate Manager sono stati aggiornati per mitigare i problemi identificati in CVE-2021-44228.
I servizi ACM Private CA sono stati aggiornati per mitigare i problemi identificati in CVE-2021-44228.
Amazon AppFlow
Amazon AppFlow è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228.
Amazon Polly
Amazon Polly è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228.
Amazon QuickSight
Amazon QuickSight è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228.
AWS Textract
I servizi AWS Textract sono stati aggiornati per mitigare i problemi identificati in CVE-2021-44228.
Amazon Corretto
L'ultima versione di Amazon Corretto rilasciata il 19 ottobre non è interessata da CVE-2021-44228 poiché la distribuzione di Corretto non include Log4j. Consigliamo ai clienti di aggiornare all'ultima versione di Log4j in tutte le applicazioni che lo utilizzano, comprese le dipendenze dirette, le dipendenze indirette e i jar ombreggiati.
AWS è a conoscenza del problema di sicurezza recentemente divulgato relativo all'utility open source Apache "Log4j2" (CVE-2021-44228).
Rispondere a problemi di sicurezza come questo dimostra quanto valore abbia avere a disposizione più livelli di tecnologie difensive, di fondamentale importanza per mantenere la sicurezza dei dati e dei carichi di lavoro dei nostri clienti. Stiamo valutando questo problema molto seriamente e il nostro team di ingegneri di punta ha lavorato 24 ore su 24 sulla risposta e per una risoluzione. Ci aspettiamo di ripristinare rapidamente il nostro stato completo di difesa approfondita.
Una delle tecnologie che abbiamo sviluppato e implementato ampiamente è una hot patch per le applicazioni che possono includere Log4j. La abbiamo anche resa disponibile come soluzione open-source, disponibile qui.
Anche con questa hot patch implementata, i clienti dovrebbero comunque pianificare l'implementazione di una libreria Log4j aggiornata il più rapidamente possibile.
Di seguito sono fornite ulteriori informazioni specifiche del servizio. Per maggiori dettagli o se hai bisogno di assistenza, contatta AWS Support.
Amazon Kinesis
Una nuova versione dell'agente Kinesis, che affronta il problema della libreria Apache Log4j2 recentemente rilevato (CVE-2021-44228), è disponibile qui.
Amazon Inspector
Il servizio Amazon Inspector è applicato come patch rispetto al problema Log4j.
Il servizio Inspector aiuta a rilevare i problemi CVE-2021-44228 (Log4Shell) nei carichi di lavoro EC2 dei clienti e nelle immagini ECR. I rilevamenti sono attualmente disponibili per i pacchetti a livello di sistema operativo interessati su Linux. Questi includono, ma non sono limitati a, apache-log4j2 e liblog4j2-java per Debian; log4j, log4jmanual e log4j12 per SUSE ed Elasticsearch per Alpine, Centos, Debian, Red Hat, SUSE e Ubuntu. Ulteriori rilevamenti saranno aggiunti man mano che sono identificati dai team di sicurezza della distribuzione ulteriori effetti. Inspector decompone gli archivi Java memorizzati all'interno delle immagini ECR e genera risultati per i pacchetti o le applicazioni interessate. Questi risultati saranno identificati nella console Inspector sotto "CVE-2021-44228" o "IN1-JAVA-ORGAPACHELOGGINGLOG4J-2314720 - org.apache.logging.log4j:log4j-core".
Amazon Inspector Classic
Il servizio Amazon Inspector è applicato come patch rispetto al problema Log4j.
Il servizio Inspector Classic aiuta a rilevare i problemi CVE-2021-44228 (Log4Shell) nei carichi di lavoro EC2 dei clienti. I rilevamenti per CVE-2021-44228 (Log4Shell) sono attualmente disponibili per i pacchetti a livello di sistema operativo interessati su Linux. Questi includono, ma non sono limitati a, apache-log4j2 e liblog4j2-java per Debian; log4j, log4jmanual e log4j12 per SUSE ed Elasticsearch per Alpine, Centos, Debian, Red Hat, SUSE e Ubuntu.
Amazon WorkSpaces/AppStream 2.0
Amazon WorkSpaces e AppStream 2.0 non sono interessati da CVE-2021-44228 con le configurazioni di default. Le immagini predefinite di Amazon Linux 2 di WorkSpaces e AppStream non contengono Log4j, e le versioni di Log4j disponibili nei repository dei pacchetti di default di Amazon Linux 2 non sono interessate da CVE-2021-44228. Tuttavia, se hai implementato il client WorkDocs Sync su Windows WorkSpaces, esegui le operazioni consigliate qui sotto.
Windows WorkSpaces di default non dispone di WorkDocs Sync installato. Tuttavia, WorkSpaces aveva un collegamento di default sul desktop al programma di installazione del client WorkDocs Sync prima di giugno 2021. Il client WorkDocs Sync versione 1.2.895.1 (e precedenti) contiene il componente Log4j. Se hai implementato le vecchie versioni del client WorkDocs Sync su WorkSpaces, riavvia il client Sync su WorkSpaces tramite strumenti di gestione come SCCM o istruisci i tuoi utenti di WorkSpaces ad aprire manualmente il client Sync - "Amazon WorkDocs" dalla lista dei programmi installati. All'avvio, il client Sync si aggiornava automaticamente all'ultima versione 1.2.905.1 che non è interessata da CVE-2021-44228. Le applicazioni Workdocs Drive e Workdocs Companion non sono interessate dal problema.
Amazon Timestream
Amazon Timestream è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228.
Amazon DocumentDB
A partire dal 13 dicembre 2021, è stata eseguita una patch di Amazon DocumentDB per mitigare il problema di Log4j a cui fa riferimento CVE-2021-44228.
Amazon CloudWatch
I servizi Amazon CloudWatch sono stati aggiornati per mitigare i problemi identificati in CVE-2021-44228.
AWS Secrets Manager
AWS Secrets Manager è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228.
Amazon Single Sign-On
I servizi Amazon Single Sign-On sono stati aggiornati per mitigare i problemi identificati in CVE-2021-44228.
Amazon RDS Oracle
Amazon RDS Oracle ha aggiornato la versione di Log4j2 in uso all'interno del servizio. L'accesso alle istanze RDS continua a essere limitato dai VPC e da altri controlli di sicurezza come i gruppi di sicurezza e le liste di controllo accessi alla rete (ACL). Ti invitiamo caldamente a rivedere queste impostazioni per assicurare una corretta gestione degli accessi alle istanze RDS.
Secondo il documento di supporto Oracle 2827611.1, il database Oracle stesso non è interessato da questo problema.
Amazon Cloud Directory
Amazon Cloud Directory è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228.
Amazon Simple Queue Service (SQS)
Amazon Simple Queue Service (SQS) il 13 dicembre 2021 ha completato la patch per il problema di Apache Log4j2 (CVE-2021-44228) per l'ingresso e l'uscita dei dati di SQS. È stata completata anche la patch di tutti gli altri sistemi SQS che utilizzavano Log4j2.
AWS KMS
AWS KMS è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228.
Amazon Redshift
I cluster Amazon Redshift sono stati aggiornati automaticamente per mitigare i problemi identificati in CVE-2021-44228.
AWS Lambda
AWS Lambda non include Log4j2 nei suoi runtime gestiti o nelle immagini di container di base. Questi non sono quindi interessati dal problema descritto in CVE-2021-44228 e CVE-2021-45046.
Per i casi in cui una funzione del cliente include una versione di Log4j2 impattata, abbiamo applicato una modifica ai tempi di esecuzione gestiti Lambda Java e alle immagini del container di base (Java 8, Java 8 su AL2 e Java 11) che aiuta a mitigare i problemi in CVE-2021-44228 e CVE-2021-45046. Ai clienti che usano tempi di esecuzione gestiti la modifica sarà applicata automaticamente. I clienti che usano le immagini dei container dovranno ripartire dall'ultima immagine di base del container e implementare nuovamente.
Indipendentemente da questa modifica, invitiamo caldamente tutti i clienti le cui funzioni includono Log4j2 ad aggiornare all'ultima versione. In particolare, i clienti che utilizzano la libreria aws-lambda-java-log4j2 nelle loro funzioni dovranno eseguire l'aggiornamento alla versione 1.4.0 ed implementare di nuovo le funzioni. Questa versione aggiorna le dipendenze dell'utility sottostante Log4j2 alla versione 2.16.0. Il binario aggiornato aws-lambda-java-log4j2 è disponibile nel repository Maven e il suo codice sorgente è disponibile in Github.
AWS è a conoscenza del problema di sicurezza recentemente divulgato relativo all'utility open source Apache "Log4j2" (CVE-2021-44228).
Rispondere a problemi di sicurezza come questo dimostra quanto valore abbia avere a disposizione più livelli di tecnologie difensive, di fondamentale importanza per mantenere la sicurezza dei dati e dei carichi di lavoro dei nostri clienti. Stiamo valutando questo problema molto seriamente e il nostro team di ingegneri di punta ha lavorato 24 ore su 24 sulla risposta e per una risoluzione. Ci aspettiamo di ripristinare rapidamente il nostro stato completo di difesa approfondita.
Continuiamo a consigliare ai nostri clienti di aggiornare tutte le loro applicazioni e servizi con patch per problemi noti come questo e continuare a seguire la nostra guida ben progettata.
Di seguito sono fornite ulteriori informazioni specifiche del servizio. Per maggiori dettagli o se hai bisogno di assistenza, contatta AWS Support.
Amazon API Gateway
A partire dal 13 dicembre 2021, è stata eseguita una patch di tutti gli host Amazon API Gateway per mitigare il problema di Log4j a cui fa riferimento CVE-2021-44228.
Amazon CloudFront
I servizi Amazon CloudFront sono stati aggiornati per mitigare i problemi identificati in CVE-2021-44228. I servizi di gestione delle richieste CloudFront eseguiti nei nostri POP non sono scritti in Java e quindi non sono stati interessati da questo problema.
Amazon Connect
I servizi Amazon Connect sono stati aggiornati per mitigare i problemi identificati in CVE-2021-44228.
Amazon DynamoDB
Amazon DynamoDB e Amazon DynamoDB Accelerator (DAX) sono stati aggiornati per mitigare i problemi identificati in CVE-2021-44228.
Amazon EC2
Le versioni Log4j disponibili nei repository Amazon Linux 1 e Amazon Linux 2 non sono interessate dal problema CVE-2021-44228. Ulteriori informazioni sugli aggiornamenti software relativi alla sicurezza per Amazon Linux sono disponibili sul Centro di sicurezza di Amazon Linux.
Amazon ElastiCache
Il motore di Amazon ElastiCache Redis non include Log4j2 nei suoi tempi di esecuzione gestiti o nelle immagini di container di base. Amazon ElastiCache ha completato la patch per il problema Apache Log4j2 (CVE-2021-44228) il 12 dicembre 2021.
Amazon EMR
CVE-2021-44228 interessa le versioni di Apache Log4j comprese tra 2.0 e 2.14.1 durante l'elaborazione di input da fonti non attendibili. I cluster EMR lanciati con le versioni EMR 5 ed EMR 6 includono framework open source come Apache Hive, Apache Flink, HUDI, Presto e Trino, che utilizzano queste versioni di Apache Log4j. Un cluster avviato con la configurazione di default EMR non elabora gli input da fonti non attendibili.
Stiamo lavorando attivamente alla creazione di un aggiornamento che riduca il problema discusso in CVE-2021-44228 quando i framework open source installati sul cluster EMR elaborano le informazioni da fonti non attendibili.
AWS IoT SiteWise Edge
Gli aggiornamenti per tutti i componenti AWS IoT SiteWise Edge che utilizzano Log4j sono disponibili per l'implementazione a partire dal 13/12/2021. Questi componenti sono: agente di raccolta di OPC-UA (v2.0.3), pacchetto elaborazione dati (v2.0.14), e Publisher (v2.0.2). AWS consiglia ai clienti che utilizzano questi componenti di implementare le versioni più recenti su gateway SiteWise Edge.
Amazon Keyspaces (per Apache Cassandra)
Amazon Keyspaces (per Apache Cassandra) è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228.
Amazon Kinesis Data Analytics
Le versioni di Apache Flink supportate da Amazon Kinesis Data Analytics includono le versioni di Apache Log4j tra 2.0 e 2.14.1. Le applicazioni Kinesis Data Analytics operano in ambienti isolati a tenant singolo e non possono interagire tra loro.
Stiamo aggiornando la versione di Log4j disponibile per le applicazioni dei clienti Kinesis Data Analytics in tutte le regioni AWS. Le applicazioni avviate o aggiornate dopo le 18:30 PST del 12/12/2021 riceveranno automaticamente la patch aggiornata. I clienti le cui applicazioni sono state avviate o aggiornate prima di allora possono verificare che le loro applicazioni vengano eseguite sulla versione aggiornata di Log4j chiamando l'API UpdateApplication di Kinesis Data Analytics. Maggiori informazioni sull'API UpdateApplication sono disponibili nella documentazione del servizio.
Amazon Kinesis Data Streams
Stiamo applicando in modo attivo la patch a tutti i sottosistemi che utilizzano Log4j2 applicando gli aggiornamenti. La Kinesis Client Library (KCL) versione 2.X e la Kinesis Producer Library (KPL) non sono interessate. Per i clienti che usano KCL 1.x, abbiamo rilasciato una versione aggiornata e raccomandiamo vivamente a tutti i clienti di KCL versione 1.x di aggiornare a KCL versione 1.14.5 (o superiore), disponibile qui.
Amazon Managed Streaming for Apache Kafka (MSK)
Siamo a conoscenza del problema recentemente divulgato (CVE-2021-44228) relativo alla libreria Apache Log4j2 e stiamo applicando gli aggiornamenti come richiesto. Considera che le build di Apache Kafka e Apache Zookeeper fornite con MSK attualmente utilizzano Log4j 1.2.17, che non è interessato da questo problema. Alcuni componenti del servizio specifici di MSK utilizzano la libreria Log4j versione successiva alla 2.0.0 e vengono corretti ove necessario.
Amazon Managed Workflows for Apache Airflow (MWAA)
MWAA presenta due scenari di considerazione riguardo al problema recentemente divulgato (CVE-2021-44228) relativo alla libreria Apache Log4j2: codice del servizio Amazon MWAA (specifico di AWS) e codice open source (Apache Airflow).
A partire dal 14 dicembre 2021, abbiamo completato tutti gli aggiornamenti necessari al codice del servizio MWAA per risolvere il problema. Apache Airflow non utilizza Log4j2 pertanto non è interessato da questo problema.
Invitiamo caldamente i clienti che hanno aggiunto Log4j2 ai loro ambienti ad aggiornare all'ultima versione.
Amazon MemoryDB for Redis
Amazon MemoryDB for Redis ha completato la patch per il problema Apache Log4j2 (CVE-2021-44228) il 12 dicembre 2021.
Amazon MQ
Amazon MQ ha due aree di considerazione riguardo al problema recentemente divulgato (CVE-2021-44228) relativo alla libreria Apache Log4j2: codice del servizio Amazon MQ (specifico di AWS) e codice open source (Apache ActiveMQ e broker di messaggi RabbitMQ).
A partire dal 13 dicembre 2021, abbiamo completato tutti gli aggiornamenti necessari al codice del servizio Amazon MQ per risolvere il problema.
Non sono necessari aggiornamenti per i broker di messaggi open source. Tutte le versioni di Apache ActiveMQ offerte in Amazon MQ utilizzano Log4j versione 1.2.x, che non è interessato da questo problema. RabbitMQ non utilizza Log4j pertanto non è interessato da questo problema.
Amazon Neptune
Tutti i cluster Amazon Neptune sono stati aggiornati automaticamente per mitigare i problemi identificati in CVE-2021-44228.
Amazon OpenSearch Service
Amazon OpenSearch Service ha rilasciato un aggiornamento critico del software di servizio, R20211203-P2, che contiene una versione aggiornata di Log4j2 in tutte le regioni. Raccomandiamo vivamente ai clienti di aggiornare i loro cluster OpenSearch a questa release il prima possibile.
Amazon RDS
Amazon RDS e Amazon Aurora si stanno occupando attivamente di tutto l'utilizzo del servizio di Log4j2 applicando gli aggiornamenti richiesti. I motori di database relazionali creati da RDS non includono la libreria Apache Log4j2. Laddove sono coinvolti fornitori upstream, stiamo applicando la loro mitigazione consigliata. Durante l'aggiornamento dei componenti interni i clienti potrebbero osservare eventi intermittenti.
Amazon S3
Amazon S3 l'11 dicembre 2021 S3 ha completato la patch per il problema di Apache Log4j2 (CVE-2021-44228) per l'ingresso e l'uscita dei dati. È stata completata anche la patch di tutti gli altri sistemi S3 che utilizzavano Log4j2.
Amazon Simple Notification Service (SNS)
I sistemi Amazon SNS che servono il traffico dei clienti hanno una patch per il problema Log4j2. Stiamo lavorando per applicare la patch Log4j2 ai sottosistemi che operano separatamente dai sistemi di SNS che servono il traffico dei clienti.
Amazon Simple Workflow Service (SWF)
Amazon Simple Workflow Service (SWF) è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228.
AWS CloudHSM
Le versioni SDK di AWS CloudHSM JCE precedenti alla 3.4.1 includono una versione di Apache Log4j interessata da questo problema. Il 10 dicembre 2021, CloudHSM ha rilasciato l'SDK JCE v3.4.1 con una versione corretta di Apache Log4j. Se utilizzi versioni di CloudHSM JCE precedenti alla 3.4.1, potresti essere interessato dal problema e dovresti attenuarlo aggiornando l'SDK CloudHSM JCE alla versione 3.4.1 o successiva.
AWS Elastic Beanstalk
AWS Elastic Beanstalk installa Log4j dai repository di pacchetti di default di Amazon Linux sulle piattaforme Tomcat per Amazon Linux 1 e Amazon Linux 2. Le versioni Log4j disponibili nei repository Amazon Linux 1 e Amazon Linux 2 non sono interessate dal problema CVE-2021-44228.
Se sono state apportate modifiche alla configurazione dell'utilizzo di Log4j da parte della tua applicazione, ti consigliamo di aggiornare il codice della tua applicazione in modo da mitigare questo problema.
In conformità con le nostre normali pratiche, se vengono rilasciate versioni con patch di queste versioni di repository di pacchetti di default, Elastic Beanstalk includerà la versione con patch nella versione successiva della piattaforma Tomcat per Amazon Linux 1 e Amazon Linux 2.
Ulteriori informazioni sugli aggiornamenti software relativi alla sicurezza per Amazon Linux sono disponibili sul Centro di sicurezza di Amazon Linux.
AWS Glue
AWS Glue è a conoscenza del problema di sicurezza recentemente divulgato relativo all'utility open source Apache "Log4j2" (CVE-2021-44228). Abbiamo aggiornato il parco istanze dei nostri piani di controllo che serve le API di AWS Glue per tutte le versioni di Glue supportate.
AWS Glue crea un nuovo ambiente Spark isolato a livello di rete e di gestione da tutti gli altri ambienti Spark all'interno dell'account di servizio AWS Glue. I tuoi processi ETL vengono eseguiti su un singolo ambiente tenant. Se hai caricato un file jar personalizzato da usare nei tuoi processi ETL o negli endpoint di sviluppo che include una versione specifica di Apache Log4j, ti consigliamo di aggiornare il tuo jar per usare l'ultima versione di Apache Log4j.
AWS Glue sta inoltre applicando in modo proattivo gli aggiornamenti ai nuovi ambienti Spark in tutte le regioni supportate. Se hai domande o desideri ulteriore assistenza, contatta AWS Support.
AWS Greengrass
Gli aggiornamenti per tutti i componenti AWS Greengrass V2 che utilizzano Log4j sono disponibili per l'implementazione a partire dal 10/12/2021. Questi componenti sono Stream Manager (2.0.14) e Secure Tunneling (1.0.6). AWS consiglia ai clienti che utilizzano questi componenti Greengrass di implementare le versioni più recenti sui propri dispositivi.
La funzione Stream Manager di Greengrass versione 1.10.x e 1.11.x utilizza Log4j. Un aggiornamento per la funzione Stream Manager è incluso nelle versioni patch Greengrass 1.10.5 e 1.11.5, entrambe disponibili a partire dal 12/12/2021. Consigliamo vivamente ai clienti delle versioni 1.10.x e 1.11.x che hanno Stream Manager abilitato sui propri dispositivi (o che potrebbero abilitarlo in futuro) di aggiornare i propri dispositivi alle versioni più recenti.
AWS Lake Formation
Gli host del servizio AWS Lake Formation vengono aggiornati all'ultima versione di Log4j per risolvere il problema con le versioni a cui si fa riferimento in CVE-2021-44228.
AWS Lambda
AWS Lambda non include Log4j2 nei suoi runtime gestiti o nelle immagini di container di base. Questi non sono quindi interessati dal problema descritto in CVE-2021-44228. I clienti che utilizzano la libreria aws-lambda-java-log4j2 nelle loro funzioni dovranno eseguire l'aggiornamento alla versione 1.3.0 e implementare di nuovo.
SDK AWS
AWS SDK per Java utilizza una facciata di registrazione e non ha una dipendenza di runtime su Log4j. Al momento non riteniamo che sia necessario apportare modifiche a AWS SDK per Java in merito a questo problema.
AWS Step Functions
AWS Step Functions è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228.
Firewall AWS per applicazioni Web (AWS WAF)
Per migliorare il rilevamento e la mitigazione relativi al recente problema di sicurezza Log4j, i clienti di CloudFront, Application Load Balancer (ALB), API Gateway e AppSync possono facoltativamente abilitare AWS WAF e applicare due AWS Managed Rules (AMR): AWSManagedRulesKnownBadInputsRuleSet e AWSManagedRulesAnonymousIpList.
AWSManagedRulesKnownBadInputsRuleSet ispeziona l'uri della richiesta, il corpo e le intestazioni comunemente usate, mentre AWSManagedRulesAnonymousIpList contribuisce a bloccare le richieste dai servizi che permettono l'offuscamento dell'identità del visitatore. Puoi applicare queste regole creando un'ACL Web di AWS WAF, aggiungendo uno o entrambi i set di regole alla tua ACL Web, e poi associando l'ACL Web alla tua distribuzione CloudFront, ALB, API Gateway o AppSync GraphQL API.
Continuiamo a iterare il gruppo di regole AWSManagedRulesKnownBadInputsRuleSet ogni volta che abbiamo ulteriori informazioni. Per ricevere gli aggiornamenti automatici di AWSManagedRulesKnownBadInputsRuleSet, scegli la versione di default. Per i clienti che utilizzano AWS WAF Classic, sarà necessario migrare ad AWS WAF o creare condizioni di corrispondenza regex personalizzate. I clienti possono utilizzare AWS Firewall Manager che consente di configurare le regole AWS WAF su più account e risorse AWS da un unico luogo. Puoi raggruppare le regole, creare policy e applicarle a livello centrale all'intera infrastruttura.
NICE
A causa di un CVE nella libreria Apache Log4j, incluso in EnginFrame dalla versione 2020.0 alla versione 2021.0-r1307, NICE consiglia di eseguire l'aggiornamento all'ultima versione di EnginFrame o di aggiornare la libreria Log4j nella propria installazione di EnginFrame seguendo le istruzioni riportate sul sito Web di supporto.
Non esitare a contattarci.
AWS è a conoscenza del problema di sicurezza recentemente divulgato relativo all'utility open source Apache "Log4j2" (CVE-2021-44228). Stiamo monitorando attivamente questo problema e stiamo lavorando per risolverlo in tutti i servizi AWS che utilizzano Log4j2 o lo forniscono ai clienti come parte del loro servizio.
Incoraggiamo vivamente i clienti che gestiscono ambienti contenenti Log4j2 a passare alla versione più recente o di utilizzare il meccanismo di aggiornamento del software del loro sistema operativo. Di seguito sono riportate ulteriori informazioni specifiche del servizio.
Per maggiori dettagli o se hai bisogno di assistenza, contatta AWS Support.
S3
L'11 dicembre 2021 S3 ha completato la patch per il problema di Apache Log4j2 (CVE-2021-44228) per l'ingresso e l'uscita dei dati di S3. È stata completata anche la patch di tutti gli altri sistemi S3 che utilizzavano Log4j2.
Amazon OpenSearch
Amazon OpenSearch Service sta distribuendo un aggiornamento del software di servizio, versione R20211203-P2, che contiene una versione aggiornata di Log4j2. Informeremo i clienti non appena l'aggiornamento sarà disponibile nelle loro regioni e aggiorneremo questo bollettino non appena sarà disponibile in tutto il mondo.
AWS Lambda
AWS Lambda non include Log4j2 nei suoi runtime gestiti o nelle immagini di container di base. Questi non sono quindi interessati dal problema descritto in CVE-2021-44228. I clienti che utilizzano la libreria aws-lambda-java-log4j2 nelle loro funzioni dovranno eseguire l'aggiornamento alla versione 1.3.0 ed implementare di nuovo.
AWS CloudHSM
Le versioni SDK di CloudHSM JCE precedenti alla 3.4.1 includono una versione di Apache Log4j interessata da questo problema. Il 10 dicembre 2021, CloudHSM ha rilasciato l'SDK JCE v3.4.1 con una versione corretta di Apache Log4j. Se utilizzi versioni di CloudHSM JCE precedenti alla 3.4.1, potresti essere interessato dal problema e dovresti attenuarlo aggiornando l'SDK CloudHSM JCE alla versione 3.4.1 o successiva.
Amazon EC2
Le versioni Log4j disponibili nei repository Amazon Linux 1 e Amazon Linux 2 non sono interessate dal problema CVE-2021-44228. Ulteriori informazioni sugli aggiornamenti software relativi alla sicurezza per Amazon Linux sono disponibili Centro di sicurezza di Amazon Linux.
API Gateway
Stiamo aggiornando API Gateway in modo che utilizzi una versione di Log4j2 che mitighi il problema. Durante questi aggiornamenti è possibile che siano osservati aumenti di latenza periodici per alcune API.
AWS Greengrass
Gli aggiornamenti per tutti i componenti Greengrass V2 che utilizzano Log4j sono disponibili per la distribuzione a partire dal 10/12/2021. Questi componenti sono Stream Manager (2.0.14) e Secure Tunneling (1.0.6). AWS consiglia ai clienti che utilizzano questi componenti Greengrass di implementare le versioni più recenti sui propri dispositivi.
La funzione Stream Manager di Greengrass versione 1.10.x e 1.11.x utilizza Log4j. Un aggiornamento per la funzione Stream Manager è incluso nelle versioni patch Greengrass 1.10.5 e 1.11.5, entrambe disponibili a partire dal 12/12/2021. Consigliamo vivamente ai clienti delle versioni 1.10.x e 1.11.x che hanno Stream Manager abilitato sui propri dispositivi (o che potrebbero abilitarlo in futuro) di aggiornare i propri dispositivi alle versioni più recenti.
CloudFront
I servizi CloudFront sono stati aggiornati per mitigare i problemi identificati in CVE-2021-44228. I servizi di gestione delle richieste CloudFront eseguiti nei nostri POP non sono scritti in Java e quindi non sono stati interessati da questo problema.
Elastic BeanStalk
AWS Elastic Beanstalk installa Log4j dai repository di pacchetti di default di Amazon Linux sulle piattaforme Tomcat per Amazon Linux 1 e Amazon Linux 2. Le versioni Log4j disponibili nei repository Amazon Linux 1 e Amazon Linux 2 non sono interessate dal problema CVE-2021-44228.
Se sono state apportate modifiche alla configurazione dell'utilizzo di Log4j da parte della tua applicazione, ti consigliamo di aggiornare il codice della tua applicazione in modo da mitigare questo problema.
In conformità con le nostre normali pratiche, se vengono rilasciate versioni con patch di queste versioni di repository di pacchetti di default, Elastic Beanstalk includerà la versione con patch nella versione successiva della piattaforma Tomcat per Amazon Linux 1 e Amazon Linux 2.
Ulteriori informazioni sugli aggiornamenti software relativi alla sicurezza per Amazon Linux sono disponibili Centro di sicurezza di Amazon Linux.
EMR
CVE-2021-44228 interessa le versioni di Apache Log4j comprese tra 2.0 e 2.14.1 durante l'elaborazione di input da fonti non attendibili. I cluster EMR lanciati con le versioni EMR 5 ed EMR 6 includono framework open source come Apache Hive, Flink, HUDI, Presto e Trino, che utilizzano queste versioni di Apache Log4j. Un cluster avviato con la configurazione di default EMR non elabora gli input da fonti non attendibili.
Stiamo lavorando attivamente alla creazione di un aggiornamento che riduca il problema discusso in CVE-2021-44228 quando i framework open source installati sul cluster EMR elaborano le informazioni da fonti non attendibili.
Lake Formation
Gli host del servizio Lake Formation vengono aggiornati in modo proattivo all'ultima versione di Log4j per risolvere il problema di sicurezza con le versioni a cui si fa riferimento in CVE-2021-44228.
SDK AWS
AWS SDK per Java utilizza una facciata di registrazione e non ha una dipendenza di runtime su log4j. Al momento non riteniamo che sia necessario apportare modifiche a AWS SDK per Java in merito a questo problema.
AMS
Stiamo monitorando attivamente questo problema e stiamo lavorando per risolverlo per tutti i servizi AMS che utilizzano Log4j2. Incoraggiamo vivamente i clienti che gestiscono ambienti contenenti Log4j2 a passare alla versione più recente o di utilizzare il meccanismo di aggiornamento del software del loro sistema operativo.
Amazon Neptune
Amazon Neptune include la libreria Apache Log4j2 come componente periferico, ma non si ritiene che il problema abbia un impatto sugli utenti di Neptune. Per eccesso di cautela, i cluster di Neptune verranno aggiornati automaticamente in modo da utilizzare una versione di Log4j2 che risolve il problema. Durante l'aggiornamento i clienti potrebbero osservare eventi intermittenti.
NICE
A causa di un CVE nella libreria Apache Log4j, incluso in EnginFrame dalla versione 2020.0 alla versione 2021.0-r1307, NICE consiglia di eseguire l'upgrade all'ultima versione di EnginFrame o di aggiornare la libreria Log4j nella propria installazione di EnginFrame seguendo le istruzioni riportate sul sito Web di supporto.
Non esitate a contattarci.
Kafka
Managed Streaming for Apache Kafka è a conoscenza del problema recentemente divulgato (CVE-2021-44228) relativo alla libreria Apache Log4j2 e sta applicando gli aggiornamenti come richiesto. Tenere presente che le build di Apache Kafka e Apache Zookeeper fornite con MSK attualmente utilizzano log4j 1.2.17, che non è interessato da questo problema. Alcuni componenti del servizio specifici di MSK utilizzano la libreria log4j versione successiva alla 2.0.0 e vengono corretti ove necessario.
AWS Glue
AWS Glue è a conoscenza del problema di sicurezza recentemente divulgato relativo all'utility open source Apache "Log4j2" (CVE-2021-44228). Abbiamo aggiornato il parco istanze dei nostri piani di controllo che serve le API di AWS Glue per tutte le versioni di Glue supportate.
AWS Glue crea un nuovo ambiente Spark isolato a livello di rete e di gestione da tutti gli altri ambienti Spark all'interno dell'account di servizio AWS Glue. I tuoi processi ETL vengono eseguiti su un singolo ambiente tenant. Se i tuoi processi ETL caricano una versione specifica di Apache Log4j, ti consigliamo di aggiornare i tuoi script in modo da utilizzare l'ultima versione di Apache Log4j. Se utilizzi gli endpoint di sviluppo di AWS Glue per creare i tuoi script, ti consigliamo di aggiornare anche la versione di Log4j che utilizzi lì.
AWS Glue sta inoltre applicando in modo proattivo gli aggiornamenti al nuovo ambiente Spark in tutte le regioni supportate. Se hai domande o desideri ulteriore assistenza, contattaci tramite AWS Support.
RDS
Amazon RDS e Amazon Aurora si stanno occupando attivamente di tutto l'utilizzo del servizio di Log4j2 applicando gli aggiornamenti richiesti. I motori di database relazionali creati da RDS non includono la libreria Apache Log4j. Laddove sono coinvolti fornitori upstream, stiamo applicando la loro mitigazione consigliata. Durante l'aggiornamento dei componenti interni i clienti potrebbero osservare eventi intermittenti.
Amazon Connect
I servizi Amazon Connect sono stati aggiornati per mitigare i problemi identificati in CVE-2021-44228.
Amazon DynamoDB
Amazon DynamoDB e Amazon DynamoDB Accelerator (DAX) sono stati aggiornati per mitigare i problemi identificati in CVE-2021-44228.
Amazon Keyspaces (per Apache Cassandra)
Amazon Keyspaces (per Apache Cassandra) è stato aggiornato per mitigare i problemi identificati in CVE-2021-44228.
Amazon MQ
Amazon MQ ha due aree di considerazione riguardo al problema recentemente divulgato (CVE-2021-44228) relativo alla libreria Apache Log4j2: codice del servizio Amazon MQ (specifico di AWS) e codice open source (Apache ActiveMQ e broker di messaggi RabbitMQ).
A partire dal 13 dicembre 2021, abbiamo completato tutti gli aggiornamenti necessari al codice del servizio Amazon MQ per risolvere il problema.
Non sono necessari aggiornamenti per i broker di messaggi open source. Tutte le versioni di Apache ActiveMQ offerte in Amazon MQ utilizzano Log4j versione 1.2.x, che non è interessato da questo problema. RabbitMQ non utilizza Log4j pertanto non è interessato da questo problema.
Kinesis Data Analytics
Le versioni di Apache Flink supportate da Kinesis Data Analytics includono versioni di Apache Log4j tra 2.0 e 2.14.1. Le applicazioni Kinesis Data Analytics operano in ambienti isolati a tenant singolo e non possono interagire tra loro.
Stiamo aggiornando la versione di Log4j disponibile per le applicazioni dei clienti Kinesis Data Analytics in tutte le regioni AWS. Le applicazioni avviate o aggiornate dopo le 18:30 PST del 12/12/2021 riceveranno automaticamente la patch aggiornata. I clienti le cui applicazioni sono state avviate o aggiornate prima di allora possono verificare che le loro applicazioni vengano eseguite sulla versione aggiornata di Log4j chiamando l'API UpdateApplication di Kinesis Data Analytics. Consulta ulteriori informazioni sull'API UpdateApplication.
AWS è a conoscenza del problema di sicurezza recentemente divulgato relativo all'utility open source Apache "Log4j2" (CVE-2021-44228). Stiamo monitorando attivamente questo problema e stiamo lavorando per risolverlo in tutti i servizi AWS che utilizzano Log4j2 o lo forniscono ai clienti come parte del loro servizio.
Incoraggiamo vivamente i clienti che gestiscono ambienti contenenti Log4j2 a passare alla versione più recente o di utilizzare il meccanismo di aggiornamento del software del loro sistema operativo.
È stato segnalato che l'utilizzo di Log4j2 su JDK dopo 8u121 o 8u191 (incluso JDK 11 e versioni successive) riduce il problema, ma si tratta solo di una mitigazione parziale. L'unica soluzione completa consiste nell'aggiornare Log4j2 alla 2.15 e le versioni di Log4j2 precedenti alla 2.15 dovrebbero essere considerate interessate indipendentemente dalla distribuzione JDK o dalla versione utilizzata.
Di seguito sono riportate ulteriori informazioni specifiche del servizio.
Per maggiori dettagli o se hai bisogno di assistenza, contatta AWS Support.
API Gateway
Stiamo aggiornando API Gateway in modo che utilizzi una versione di Log4j2 che mitighi il problema. Durante questi aggiornamenti è possibile che siano osservati aumenti di latenza periodici per alcune API.
AWS Greengrass
Gli aggiornamenti per tutti i componenti Greengrass V2 che utilizzano Apache Log4j2 sono disponibili per la distribuzione a partire dal 10/12/2021. Questi componenti sono Stream Manager (2.0.14) e Secure Tunneling (1.0.6). AWS consiglia ai clienti che utilizzano questi componenti Greengrass di implementare le versioni più recenti sui propri dispositivi.
Gli aggiornamenti per le versioni Greengrass 1.10 e 1.11 dovrebbero essere disponibili entro il 17/12/2021. Si consiglia ai clienti che utilizzano Stream Manager su questi dispositivi di aggiornare i propri dispositivi non appena i file binari di Greengrass sono disponibili per queste versioni. Nel frattempo, i clienti devono verificare che il loro codice lambda personalizzato tramite Stream Manager su Greengrass 1.10 o 1.11 non utilizzi nomi di stream e nomi di file arbitrari (per l'esportatore S3) al di fuori del controllo del cliente, ad es. un nome di flusso o un nome di file contenente il testo "${".
Amazon MQ
Amazon MQ ha due aree di considerazione riguardo al problema recentemente divulgato (CVE-2021-44228) relativo alla libreria Apache Log4j2: codice del servizio Amazon MQ (specifico di AWS) e codice open source (Apache ActiveMQ e broker di messaggi RabbitMQ).
Stiamo applicando tutti gli aggiornamenti necessari al codice del servizio Amazon MQ per risolvere il problema.
Non sono necessari aggiornamenti per i broker di messaggi open source. Tutte le versioni di Apache ActiveMQ offerte in Amazon MQ utilizzano Log4j versione 1.x, che non è interessato da questo problema. RabbitMQ non utilizza Log4j2 pertanto non è interessato da questo problema.
CloudFront
I servizi CloudFront sono stati aggiornati per mitigare i problemi identificati in CVE-2021-44228. I servizi di gestione delle richieste CloudFront eseguiti nei nostri POP non sono scritti in Java e quindi non sono stati interessati da questo problema.
AWS Elastic Beanstalk
AWS Elastic Beanstalk installa Log4j dai repository di pacchetti di default di Amazon Linux sulle piattaforme Tomcat per Amazon Linux 1 e Amazon Linux 2. Le versioni Log4j disponibili nei repository Amazon Linux 1 e Amazon Linux 2 non sono interessate dal problema CVE-2021-44228.
Se sono state apportate modifiche alla configurazione dell'utilizzo di Log4j da parte della tua applicazione, ti consigliamo di aggiornare il codice della tua applicazione in modo da mitigare questo problema.
In conformità con le nostre normali pratiche, se vengono rilasciate versioni con patch di queste versioni di repository di pacchetti di default, Elastic Beanstalk includerà la versione con patch nella versione successiva della piattaforma Tomcat per Amazon Linux 1 e Amazon Linux 2.
Ulteriori informazioni sugli aggiornamenti software relativi alla sicurezza per Amazon Linux sono disponibili Centro di sicurezza di Amazon Linux.
EMR
CVE-2021-44228 interessa le versioni di Apache Log4j comprese tra 2.0 e 2.14.1 durante l'elaborazione di input da fonti non attendibili. I cluster EMR lanciati con le versioni EMR 5 ed EMR 6 includono framework open source come Apache Hive, Flink, HUDI, Presto e Trino, che utilizzano queste versioni di Apache Log4j. Un cluster avviato con la configurazione di default EMR non elabora gli input da fonti non attendibili.
Stiamo lavorando attivamente alla creazione di un aggiornamento che riduca il problema discusso in CVE-2021-44228 quando i framework open source installati sul cluster EMR elaborano le informazioni da fonti non attendibili.
Lake Formation
Gli host del servizio Lake Formation vengono aggiornati in modo proattivo all'ultima versione di Log4j per risolvere il problema con le versioni a cui si fa riferimento in CVE-2021-44228.
S3
L'ingresso e l'uscita dei dati di S3 hanno la patch applicata per il problema Log4j2. Stiamo lavorando per applicare la patch Log4j2 ai sistemi S3 che operano separatamente dall'ingresso e dall'uscita dei dati di S3.
SDK AWS
AWS SDK per Java utilizza una facciata di registrazione e non ha una dipendenza di runtime su Log4j. Al momento non riteniamo che sia necessario apportare modifiche a AWS SDK per Java in merito a questo problema.
AMS
Stiamo monitorando attivamente questo problema e stiamo lavorando per risolverlo per tutti i servizi AMS che utilizzano Log4j2. Incoraggiamo vivamente i clienti che gestiscono ambienti contenenti Log4j2 a passare alla versione più recente o di utilizzare il meccanismo di aggiornamento del software del loro sistema operativo.
AMS consiglia l'implementazione di un Web Application Firewall (WAF) per tutti gli endpoint delle applicazioni accessibili da Internet. Il servizio AWS WAF può essere configurato per fornire un ulteriore livello di difesa contro questo problema implementando il set di regole AWSManagedRulesAnonymousIpList (che contiene regole per bloccare le fonti note per rendere anonime le informazioni sui client, come i nodi TOR) e il set di regole AWSManagedRulesKnownBadInputsRuleSet (che controlla l'URI, corpo della richiesta e intestazioni comunemente usate per aiutare a bloccare le richieste relative a Log4j e altri problemi).
AMS continuerà a monitorare questo problema e fornirà ulteriori dettagli e raccomandazioni non appena saranno disponibili.
Amazon Neptune
Amazon Neptune include la libreria Apache Log4j2 come componente periferico, ma non si ritiene che il problema abbia un impatto sugli utenti di Neptune. Per eccesso di cautela, i cluster di Neptune verranno aggiornati automaticamente in modo da utilizzare una versione di Log4j2 che risolve il problema. Durante l'aggiornamento i clienti potrebbero osservare eventi intermittenti.
NICE
A causa di un CVE nella libreria Apache Log4j, incluso in EnginFrame dalla versione 2020.0 alla versione 2021.0-r1307, NICE consiglia di eseguire l'upgrade all'ultima versione di EnginFrame o di aggiornare la libreria Log4j nella propria installazione di EnginFrame seguendo le istruzioni riportate sul sito Web di supporto.
Non esitate a contattarci.
Kafka
Managed Streaming for Apache Kafka è a conoscenza del problema recentemente divulgato (CVE-2021-44228) relativo alla libreria Apache Log4j2 e sta applicando gli aggiornamenti come richiesto. Tenere presente che le build di Apache Kafka e Apache Zookeeper fornite con MSK attualmente utilizzano Log4j 1.2.17, che non è interessato da questo problema. Alcuni componenti del servizio specifici di MSK utilizzano la libreria Log4j versione successiva alla 2.0.0 e vengono corretti ove necessario.
AWS Glue
AWS Glue è a conoscenza del problema di sicurezza recentemente divulgato relativo all'utility open source Apache "Log4j2" (CVE-2021-44228). Abbiamo aggiornato il parco istanze dei nostri piani di controllo che serve le API di AWS Glue per tutte le versioni di Glue supportate.
AWS Glue crea un nuovo ambiente Spark isolato a livello di rete e di gestione da tutti gli altri ambienti Spark all'interno dell'account di servizio AWS Glue. I tuoi processi ETL vengono eseguiti su un singolo ambiente tenant. Se i tuoi processi ETL caricano una versione specifica di Apache Log4j, ti consigliamo di aggiornare i tuoi script in modo da utilizzare l'ultima versione di Apache Log4j. Se utilizzi gli endpoint di sviluppo di AWS Glue per creare i tuoi script, ti consigliamo di aggiornare anche la versione di Log4j che utilizzi lì.
AWS Glue sta inoltre applicando in modo proattivo gli aggiornamenti al nuovo ambiente Spark in tutte le regioni supportate. Se hai domande o desideri ulteriore assistenza, contattaci tramite AWS Support.
RDS
Amazon RDS e Amazon Aurora si stanno occupando attivamente di tutto l'utilizzo del servizio di Log4j2 applicando gli aggiornamenti richiesti. I motori di database relazionali creati da RDS non includono la libreria Apache Log4j. Laddove sono coinvolti fornitori upstream, stiamo applicando la loro mitigazione consigliata. Durante l'aggiornamento dei componenti interni i clienti potrebbero osservare eventi intermittenti.
OpenSearch
Amazon OpenSearch Service sta distribuendo un aggiornamento del software di servizio, versione R20211203-P2, che contiene una versione aggiornata di Log4j2. Informeremo i clienti non appena l'aggiornamento sarà disponibile nelle loro regioni e aggiorneremo questo bollettino non appena sarà disponibile in tutto il mondo.