Data di pubblicazione iniziale: 19/04/2022 14:30 PST
ID CVE: CVE-2021-3100, CVE-2021-3101, CVE-2022-0070, CVE-2022-0071
Il 12 dicembre 2021, Amazon ha rilasciato pubblicamente una hotpatch per l'esecuzione di VM Java che disabilita il caricamento della classe Java Naming and Directory Interface (JNDI). Questa hotpatch fornisce una mitigazione immediata dei problemi critici all'interno dello strumento open source di Apache "Log4j2" (CVE-2021-44228 e CVE-2021-45046) dando agli amministratori di sistema il tempo necessario per correggere completamente gli ambienti coinvolti. I ricercatori nel campo della sicurezza hanno segnalato recentemente i problemi relativi a questa hotpatch e agli hook OCI per Bottlerocket ("Hotdog") associati. Abbiamo risolto questi problemi nella nuova versione della hotpatch e di Hotdog. Consigliamo ai clienti che eseguono le applicazioni Java nei container e che usano la hotpatch o Hotdog di aggiornare immediatamente il software alla versione più recente. I nomi e le versioni dei pacchetti più recenti della hotpatch per Amazon Linux e Amazon Linux 2 sono i seguenti:
- Amazon Linux: log4j-cve-2021-44228-hotpatch-1.1-16.amzn1
- Amazon Linux 2: log4j-cve-2021-44228-hotpatch-1.1-16.amzn2
I clienti che utilizzano la hotpatch per Apache Log4j su Amazon Linux possono eseguire l'aggiornamento alla versione più recente tramite il seguente comando: sudo yum update. La hotpatch richiede un ambiente contenente la versione più recente del kernel Linux e che i clienti non saltino nessun aggiornamento disponibile per il kernel quando viene aggiornata la versione della hotpatch in uso. Per ulteriori informazioni, consulta la pagina Amazon Linux Security Center https://alas.aws.amazon.com
I clienti che utilizzano Bottlerocket con la caratteristica della hotpatch per Apache Log4j abilitata dovrebbero aggiornare Bottlerocket alla versione più recente, che include la versione più recente di Hotdog.
Vorremmo ringraziare Palo Alto Networks per aver segnalato questi problemi.
È possibile inviare domande o segnalare dubbi relativi alla sicurezza all'indirizzo e-mail aws-security@amazon.com.