AWS는 최근 공개된 오픈 소스 Apache ‘Log4j2’ 유틸리티(CVE-2021-44228 및 CVE-2021-45046)와 관련된 문제에 대해 인지하고 있습니다.
이와 같은 보안 문제에 대응하는 것은 고객의 데이터 및 워크로드의 보안을 유지하는 데 매우 중요한 여러 계층의 방어 기술 보유의 가치를 보여줍니다.
저희는 이 문제를 매우 심각하게 받아들이고 있으며 세계 최고 수준의 엔지니어 팀이 여기에서 제공하는 Amazon 개발 Java 핫패치를 모든 AWS 서비스에 완전히 배포했습니다. 핫패치는 Java VM을 업데이트하여 Java Naming and Directory Interface(JNDI) 클래스의 로드를 비활성화하고, 무해한 알림 메시지로 교체하여 CVE-2021-44228 및 CVE-2021-45046을 완화시킵니다. 업데이트된 Log4j 라이브러리를 모든 서비스에 배포하는 것이 곧 완료됩니다. Java 핫패치에 대한 자세한 정보는 https://aws.amazon.com/blogs/security/open-source-hotpatch-for-apache-log4j-vulnerability/에서 제공됩니다.
이 핫패치가 배포되어도 고객은 저희가 AWS 전체에 배포하는 것처럼 업데이트된 Log4j 라이브러리를 가능한 한 신속하게 배포해야 합니다.
AWS 서비스를 사용하여 Log4j CVE를 탐지하고 해결하는 방법에 관한 세부 정보는 여기에서 가장 최신 블로그 게시물을 참조하세요.
이 최종 공지 이후에는 더 이상 서비스별 업데이트가 필요하지 않습니다.
추가 세부 정보나 지원이 필요하시면 AWS Support에 문의하세요.
Amazon Connect
Amazon Connect는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
고객이 별도로 또는 추가로 완화할 필요가 있을 수 있는 Amazon Connect 서비스 경계의 외부에 있는 환경 구성 요소(예: 고객 응대 흐름에서 호출되는 Lambda 함수)를 평가할 것을 권장합니다.
Amazon Chime
Amazon Chime SDK 서비스는 CVE-2021-44228 및 CVE-2021-45046에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon Chime 서비스는 CVE-2021-44228 및 CVE-2021-45046에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon EMR
Apache Log4j 2.0~2.14.1 사이의 버전이 신뢰할 수 없는 소스로부터 입력을 처리할 때 CVE-2021-44228의 영향을 받습니다. EMR 5 및 EMR 6 릴리스를 사용하여 시작되는 EMR 클러스터는 이와 같은 버전의 Apache Log4j를 사용하는 Apache Hive, Apache Flink, HUDI, Presto, Trino와 같은 오픈 소스 프레임워크를 포함합니다. EMR의 기본 구성을 사용하여 클러스터를 시작한 경우 클러스터는 신뢰할 수 없는 소스로부터의 입력을 처리하지 않습니다. 많은 고객들이 EMR 클러스터에 설치된 오픈 소스 프레임워크를 사용하여 신뢰할 수 없는 소스로부터의 입력을 처리하고 로그합니다. 따라서 AWS는 고객이 여기에 설명된 해결 방법을 적용할 것을 권장합니다.
Amazon Fraud Detector
Amazon Fraud Detector 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon Kendra
Amazon Kendra는 CVE-2021-44228를 완화하도록 업데이트되었습니다.
Amazon Lex
Amazon Lex는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon Lookout for Equipment
Amazon Lookout for Equipment는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon Macie
Amazon Macie 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon Macie Classic
Amazon Macie Classic 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon Monitron
Amazon Monitron은 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon RDS
Amazon RDS 및 Amazon Aurora는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon Rekognition
Amazon Rekognition 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon VPC
인터넷 게이트웨이 및 가상 게이트웨이 서비스를 포함한 Amazon VPC는 CVE-2021-44228에서 참조된 Log4j 문제를 완화하도록 업데이트되었습니다.
AWS AppSync
AWS AppSync는 CVE-2021-44228 및 CVE-2021-45046에서 식별된 문제를 완화하도록 업데이트되었습니다.
AWS Certificate Manager
AWS Certificate Manager 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
ACM Private CA 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
AWS Service Catalog
AWS Service Catalog 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
AWS Systems Manager
AWS Systems Manager 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다. Systems Manager Agent 자체는 이 문제의 영향을 받지 않습니다.
AWS는 최근 공개된 오픈 소스 Apache ‘Log4j2’ 유틸리티(CVE-2021-44228 및 CVE-2021-45046)와 관련된 문제에 대해 인지하고 있습니다.
이와 같은 보안 문제에 대응하는 것은 고객의 데이터 및 워크로드의 보안을 유지하는 데 매우 중요한 여러 계층의 방어 기술 보유의 가치를 보여줍니다. 저희는 이 문제를 매우 심각하게 받아들이고 있으며 세계 최고 수준의 엔지니어 팀이 24시간 내내 대응하고 해결하는 작업을 하고 있습니다. 완전한 심층적 방어 상태를 신속하게 복원할 것으로 예상합니다.
AWS 내에서 개발하고 광범위하게 배포해 온 기술 중 하나는 Log4j를 포함할 수도 있는 애플리케이션에 대한 핫패치입니다. 이 핫패치는 Java VM을 업데이트하여 Java Naming and Directory Interface(JNDI) 클래스의 로드를 비활성화하고, 무해한 알림 메시지로 교체하여 CVE-2021-44228 및 CVE-2021-45046 완화에 효과적입니다.
또한 이것을 오픈 소스 솔루션으로 사용할 수 있도록 하였으며, 여기에서 제공되고 있습니다.
이 핫패치가 배포되어도 고객은 업데이트된 Log4j 라이브러리를 가능한 한 신속하게 배포해야 합니다.
AWS 서비스를 사용하여 Log4j CVE를 탐지하고 해결하는 방법에 관한 세부 정보는 여기에서 가장 최신 블로그 게시물을 참조하세요.
서비스별 추가 정보는 아래와 같습니다. 추가 세부 정보나 지원이 필요하시면 AWS Support에 문의하세요.
Amazon EKS, Amazon ECS, AWS Fargate
고객의 컨테이너에서의 오픈 소스 Apache ‘Log4j2’ 유틸리티(CVE-2021-44228 및 CVE-2021-45046) 보안 문제의 영향을 완화하는 데 도움이 되기 위해 Amazon EKS, Amazon ECS, AWS Fargate에서 Linux 기반 업데이트(핫패치)를 배포하고 있습니다. 이 핫패치는 사용하는 데 고객 옵트인이 필요하고 고객의 컨테이너의 Log4J2 라이브러리에서 JNDI 검색을 비활성화합니다. 이러한 업데이트는 Amazon ECS 고객용 Amazon Linux 패키지, AWS의 Kubernetes 사용자용 DaemonSet으로 제공되며, 지원되는 AWS Fargate 플랫폼 버전에 포함될 것입니다.
Windows 컨테이너에서 Java 기반 애플리케이션을 실행하는 고객은 여기의 Microsoft 지침을 따르는 것이 좋습니다.
Amazon ECR Public 및 Amazon ECR
Amazon ECR Public의 확인된 계정에서 게시된 Amazon 소유 이미지는 CVE-2021-4422에 설명된 문제의 영향을 받지 않습니다. Amazon ECR에서 고객 소유 이미지의 경우, AWS는 Amazon Inspector의 향상된 스캐닝을 제공하며, 이는 CVE-2021-44228를 포함하는 컨테이너 이미지를 포함하여 알려진 보안 문제에 대한 컨테이너 이미지를 지속적으로 스캔하도록 설계되었습니다. 결과는 Inspector 및 ECR 콘솔에서 보고됩니다. Inspector에는 Inspector를 처음 사용하는 계정을 위해 무료 컨테이너 이미지 스캐닝이 포함된 15일 무료 평가판이 포함되어 있습니다. 제3의 게시자의 ECR Public 이미지를 사용하는 고객의 경우, 고객은 최근 런칭한 ECR의 풀스루 캐시 기능을 사용하여 이러한 이미지를 ECR Public에서 ECR 레지스트리로 복사할 수 있고, Inspector 스캐닝을 사용하여 보안 문제를 탐지할 수 있습니다.
Amazon Cognito
Amazon Cognito 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon Pinpoint
Amazon Pinpoint 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon EventBridge
Amazon EventBridge는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Elastic Load Balancing
Elastic Load Balancing 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다. Classic, 애플리케이션, 게이트웨이뿐만 아니라 모든 Elastic Load Balancer는 Java로 작성되지 않으므로 이 문제의 영향을 받지 않았습니다.
AWS CodePipeline
AWS CodePipeline은 CVE-2021-44228 및 CVE-2021-45046에서 식별된 문제를 완화하도록 업데이트되었습니다.
AWS CodeBuild
AWS CodeBuild는 CVE-2021-44228 및 CVE-2021-45046에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon Route53
Route 53은 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon Linux
Amazon Linux 1(AL1) 및 Amazon Linux 2(AL2)는 기본적으로 CVE-2021-44228 또는 CVE-2021-45046의 영향을 받지 않는 log4j 버전을 사용합니다. AL2의 일부인 Amazon Kinesis Agent의 신규 버전은 CVE-2021-44228 및 CVE-2021-45046를 해결합니다. 또한 자체 log4j 코드를 사용하는 고객에게 도움을 주기 위해 Amazon Linux는 Apache log4j에 대한 핫패치를 포함하는 신규 패키지를 릴리스했습니다. 자세한 내용은 여기에서 확인할 수 있습니다.
Amazon SageMaker
Amazon SageMaker는 Apache Log4j2 문제(CVE-2021-44228)에 대한 패치를 2021년 12월 15일에 완료하였습니다.
고객이 이번 문제와 같이 알려진 문제에 대한 패치를 적용하여 모든 애플리케이션과 서비스를 업데이트하는 조치를 취할 것을 권장합니다. 이 문제에 대해 조치를 취할 것을 권고받은 고객은 PHD를 통해 상세한 지침을 받았습니다. Log4j 문제의 영향을 받지 않더라도 작업을 다시 시작하거나 앱을 업데이트하여 최신 버전의 소프트웨어를 사용할 것을 권장합니다.
Amazon Athena
Amazon Athena는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다. 고객에게 판매된 Amazon Athena JDBC 드라이버의 모든 버전은 이 문제의 영향을 받지 않았습니다.
AWS Certificate Manager
AWS Certificate Manager 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
ACM Private CA 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon AppFlow
Amazon AppFlow는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon Polly
Amazon Polly는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon QuickSight
Amazon QuickSight는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
AWS Textract
AWS Textract 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon Corretto
10월 19일에 릴리스된 최신 Amazon Corretto는 Corretto 배포에 Log4j가 포함되어 있지 않으므로 CVE-2021-44228의 영향을 받지 않습니다. 직접 종속성, 간접 종속성, 감춰진 jar을 포함하여 Log4j를 사용하는 모든 애플리케이션에서 최신 버전의 Log4j로 업데이트할 것을 고객에게 권장합니다.
AWS는 최근 공개된 오픈 소스 Apache ‘Log4j2’ 유틸리티(CVE-2021-44228)와 관련된 보안 문제에 대해 인지하고 있습니다.
이와 같은 보안 문제에 대응하는 것은 고객의 데이터 및 워크로드의 보안을 유지하는 데 매우 중요한 여러 계층의 방어 기술 보유의 가치를 보여줍니다. 저희는 이 문제를 매우 심각하게 받아들이고 있으며 세계 최고 수준의 엔지니어 팀이 24시간 내내 대응하고 해결하는 작업을 하고 있습니다. 완전한 심층적 방어 상태를 신속하게 복원할 것으로 예상합니다.
저희가 개발하고 배포해 온 기술 중 하나는 Log4j를 포함할 수도 있는 애플리케이션에 대한 핫패치입니다. 또한 이것을 오픈 소스 솔루션으로 사용할 수 있도록 하였으며, 여기에서 제공되고 있습니다.
이 핫패치가 배포되어도 고객은 업데이트된 Log4j 라이브러리를 가능한 한 신속하게 배포할 계획을 세워야 합니다.
서비스별 추가 정보는 아래와 같습니다. 추가 세부 정보나 지원이 필요하시면 AWS Support에 문의하세요.
Amazon Kinesis
최근에 공개된 Apache Log4j2 라이브러리 문제(CVE-2021-44228)를 해결하는 Kinesis Agent의 신규 버전은 여기에서 제공됩니다.
Amazon Inspector
Amazon Inspector 서비스는 Log4j 문제에 대해 패치되었습니다.
Inspector 서비스는 고객 EC2 워크로드 및 ECR 이미지 내 CVE-2021-44228(Log4Shell) 문제를 탐지하는 데 도움이 됩니다. 탐지는 영향을 받은 Linux 운영 체제 레벨 패키지에 대해 현재 사용 가능합니다. 이는 apache-log4j2와 liblog4j2-java for Debian, log4j, log4jmanual 및 log4j12 for SUSE, Elasticsearch for Alpine, Centos, Debian, Red Hat, SUSE 및 Ubuntu를 포함하지만 이에 국한되지는 않습니다. 각 배포 보안 팀에 의해 추가 영향이 식별되어 추가 탐지가 추가됩니다. Inspector는 ECR 이미지 내에 저장된 Java 아카이브를 분석하고 영향을 받은 패키지 또는 애플리케이션 결과를 생성합니다. 이 결과는 Inspector 콘솔의 ‘CVE-2021-44228’ 또는 ‘IN1-JAVA-ORGAPACHELOGGINGLOG4J-2314720 - org.apache.logging.log4j:log4j-core’에서 확인할 수 있습니다.
Amazon Inspector Classic
Amazon Inspector 서비스는 Log4j 문제에 대해 패치되었습니다.
Inspector Classic 서비스는 고객 EC2 워크로드 내 CVE-2021-44228(Log4Shell) 문제를 감지하는 데 도움이 됩니다. CVE-2021-44228(Log4Shell) 감지는 영향을 받은 Linux 운영 체제 레벨 패키지에 대해 현재 사용 가능합니다. 이는 apache-log4j2와 liblog4j2-java for Debian, log4j, log4jmanual 및 log4j12 for SUSE, Elasticsearch for Alpine, Centos, Debian, Red Hat, SUSE 및 Ubuntu를 포함하지만 이에 국한되지는 않습니다.
Amazon WorkSpaces/AppStream 2.0
Amazon WorkSpaces와 AppStream 2.0는 기본 구성으로는 CVE-2021-44228의 영향을 받지 않습니다. WorkSpace 및 AppStream의 기본 Amazon Linux 2 이미지는 Log4j를 포함하지 않으며, Amazon Linux 2 기본 패키지 리포지토리에서 사용 가능한 Log4j 버전은 CVE-2021-44228의 영향을 받지 않습니다. 그러나 WorkDocs Sync 클라이언트를 Windows WorkSpaces로 배포했다면 아래와 같은 권장 조치를 취하시기 바랍니다.
기본적으로 Windows WorkSpaces에는 설치된 WorkDocs Sync가 없습니다. 그러나 2021년 6월 이전에는 WorkSpaces에 WorkDocs Sync 클라이언트 설치 프로그램의 기본 데스크톱 바로가기가 있었습니다. WorkDocs Sync 클라이언트 1.2.895.1 이하 버전에는 Log4j 구성 요소가 포함되어 있습니다. WorkDocs Sync 클라이언트 구 버전을 WorkSpaces에 배포했다면 WorkSpaces에서 Sync 클라이언트를 SCCM과 같은 관리 도구를 통해 재시작하거나, WorkSpaces 사용자에게 설치된 프로그램 목록에서 Sync 클라이언트 - ‘Amazon WorkDocs’를 수동으로 열도록 안내합니다. 시작하면 Sync 클라이언트는 최신 버전인 1.2.905.1로 자동 업데이트하며 이는 CVE-2021-44228의 영향을 받지 않습니다. WorkDocs Drive와 WorkDocs Companion 애플리케이션은 이 문제의 영향을 받지 않습니다.
Amazon Timestream
Amazon Timestream은 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon DocumentDB
2021년 12월 13일, Amazon DocumentDB은 CVE-2021-44228에서 참조된 Log4j 문제를 완화하도록 패치되었습니다.
Amazon CloudWatch
Amazon CloudWatch 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
AWS Secrets Manager
AWS Secrets Manager는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon Single Sign-On
Amazon Single Sign-On 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon RDS Oracle
Amazon RDS Oracle은 서비스에서 사용 중인 Log4j2 버전을 업데이트했습니다. RDS 인스턴스에 대한 액세스는 VPC와 보안 그룹 및 네트워크 액세스 제어 목록(ACL)과 같은 기타 보안 제어에 의해 계속 제한됩니다. RDS 인스턴스에 대한 적절한 액세스 관리를 보장하기 위해 이러한 설정을 검토할 것을 강력하게 권고합니다.
Oracle Support 문서 2827611.1에 의하여 Oracle 데이터베이스 자체는 이 문제의 영향을 받지 않습니다.
Amazon Cloud Directory
Amazon Cloud Directory는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon Simple Queue Service(SQS)
Amazon Simple Queue Service(SQS)는 2021년 12월 13일에 SQS의 데이터 수신 및 송신에 대한 Apache Log4j2 문제(CVE-2021-44228)에 대한 패치를 완료했습니다. Log4j2를 사용하는 모든 다른 SQS 시스템에 대한 패치도 완료되었습니다.
AWS KMS
AWS KMS는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon Redshift
Amazon Redshift 클러스터는 CVE-2021-44228에서 식별된 문제를 완화하도록 자동 업데이트되었습니다.
AWS Lambda
AWS Lambda는 관리형 런타임 또는 기본 컨테이너 이미지에 Log4j2를 포함하지 않습니다. 따라서 CVE-2021-44228 및 CVE-2021-45046에 설명된 문제의 영향을 받지 않습니다.
영향을 받은 Log4j2 버전을 포함하는 고객 함수의 경우, Lambda Java 관리형 런타임과 CVE-2021-44228 및 CVE-2021-45046의 문제를 완화하는 데 도움이 되는 기본 컨테이너 이미지(Java 8, AL2의 Java 8, Java 11)에 대한 변경을 적용했습니다. 관리형 런타임을 사용하는 고객은 자동으로 변경 사항이 적용됩니다. 컨테이너 이미지를 사용하는 고객은 최신 기본 컨테이너 이미지에서 재구축해야 하며 재배포가 필요합니다.
이번 변경과는 별개로, Log4j2를 포함하는 함수를 사용하는 모든 고객에게 최신 버전으로 업데이트할 것을 강력하게 권고합니다. 특히 함수에 aws-lambda-java-log4j2 라이브러리를 사용하는 고객은 버전 1.4.0으로 업데이트하고 함수를 재배포해야 합니다. 이번 버전은 기본 Log4j2 유틸리티 종속성을 2.16.0 버전으로 업데이트합니다. 업데이트 된 aws-lambda-java-log4j2 바이너리는 Maven 리포지토리에서 사용 가능하며 해당 소스 코드는 Github에서 사용할 수 있습니다.
AWS는 최근 공개된 오픈 소스 Apache ‘Log4j2’ 유틸리티(CVE-2021-44228)와 관련된 보안 문제에 대해 인지하고 있습니다.
이와 같은 보안 문제에 대응하는 것은 고객의 데이터 및 워크로드의 보안을 유지하는 데 매우 중요한 여러 계층의 방어 기술 보유의 가치를 보여줍니다. 저희는 이 문제를 매우 심각하게 받아들이고 있으며 세계 최고 수준의 엔지니어 팀이 24시간 내내 대응하고 해결하는 작업을 하고 있습니다. 완전한 심층적 방어 상태를 신속하게 복원할 것으로 예상합니다.
고객이 이번 문제와 같은 알려진 문제에 대한 패치를 적용하여 모든 애플리케이션과 서비스를 업데이트하는 조치를 취하고, 잘 설계된 가이드를 계속 따를 것을 권고합니다.
서비스별 추가 정보는 아래와 같습니다. 추가 세부 정보나 지원이 필요하시면 AWS Support에 문의하세요.
Amazon API Gateway
2021년 12월 13일에 모든 Amazon API Gateway 호스트는 CVE-2021-44228에서 참조된 Log4j 문제를 완화하도록 패치되었습니다.
Amazon CloudFront
Amazon CloudFront 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다. 당사의 POP에서 실행되는 서비스를 처리하는 CloudFront 요청은 Java로 작성되지 않으므로 이 문제의 영향을 받지 않습니다.
Amazon Connect
Amazon Connect 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon DynamoDB
Amazon DynamoDB 및 Amazon DynamoDB Accelerator(DAX)는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon EC2
Amazon Linux 1 및 Amazon Linux 2 리포지토리에 사용 가능한 Log4j 버전은 CVE-2021-44228의 영향을 받지 않습니다. Amazon Linux의 보안 관련 소프트웨어 업데이트에 대한 추가 정보는 Amazon Linux 보안 센터에서 제공됩니다.
Amazon ElastiCache
Amazon ElastiCache의 Redis 엔진은 관리형 런타임 또는 기본 컨테이너 이미지에 Log4j2를 포함하지 않습니다. Amazon ElastiCache는 Apache Log4j2 문제(CVE-2021-44228) 패치를 2021년 12월 12일에 완료하였습니다.
Amazon EMR
Apache Log4j 2.0~2.14.1 사이의 버전이 신뢰할 수 없는 소스로부터 입력을 처리할 때 CVE-2021-44228의 영향을 받습니다. EMR 5 및 EMR 6 릴리스를 사용하여 시작되는 EMR 클러스터는 이와 같은 버전의 Apache Log4j를 사용하는 Apache Hive, Apache Flink, HUDI, Presto, Trino와 같은 오픈 소스 프레임워크를 포함합니다. EMR의 기본 구성을 사용하여 클러스터를 시작한 경우 클러스터는 신뢰할 수 없는 소스로부터의 입력을 처리하지 않습니다.
당사는 EMR 클러스터에 설치된 오픈 소스 프레임워크가 신뢰할 수 없는 소스로부터의 정보를 처리할 때 발생하는 문제(CVE-2021-44228에서 논의)를 완화하는 업데이트 구축에 적극적으로 임하고 있습니다.
AWS IoT SiteWise Edge
2021년 12월 13일에 Log4j를 사용하는 모든 AWS IoT SiteWise Edge 구성 요소에 대한 업데이트가 배포될 수 있도록 준비되었습니다. 이러한 구성 요소는 OPC-UA collector(v2.0.3), 데이터 처리 팩(v2.0.14) 및 Publisher(v2.0.2) 입니다. AWS는 이러한 구성 요소를 사용하는 고객에게 최신 버전을 SiteWise 엣지 게이트웨이에 배포할 것을 권장합니다.
Amazon Keyspaces(Apache Cassandra용)
Amazon Keyspaces(Apache Cassandra용)는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon Kinesis Data Analytics
Amazon Kinesis Data Analytics의 지원을 받는 Apache Flink 버전은 Apache Log4j 버전 2.0~2.14.1을 포함합니다. Kinesis Data Analytics 애플리케이션은 단일 테넌트의 독립된 환경에서 운영되므로 다른 애플리케이션과 상호작용하지 않습니다.
모든 AWS 리전의 Kinesis Data Analytics 고객 애플리케이션에 Log4j 버전을 업데이트하는 중입니다. 2021년 12월 12일 6:30 PM(PST 기준) 이후로 시작하거나 업데이트된 애플리케이션은 자동으로 업데이트된 패치를 수신합니다. 애플리케이션이 그 전에 시작 또는 업데이트된 고객은 Kinesis Data Analytics UpdateApplication API를 호출하여 업데이트된 Log4j 버전에서 애플리케이션이 실행되고 있는지 확인할 수 있습니다. UpdateApplication API에 대한 자세한 내용은 서비스 설명서를 참조하세요.
Amazon Kinesis Data Streams
Log4j2를 사용하는 모든 하위 시스템을 업데이트하여 적극적으로 패치하고 있습니다. Kinesis Client Library(KCL) 버전 2.X 및 Kinesis Producer Library(KPL)는 영향을 받지 않습니다. KCL 1.x를 사용하는 고객을 위해서 업데이트 된 버전을 릴리즈했으며, 모든 KCL 버전 1.x 고객은 여기에서 제공되는 KCL 버전 1.14.5 이상으로 업그레이드할 것을 강력하게 권고합니다.
Amazon Managed Streaming for Apache Kafka(MSK)
Apache Log4j2 라이브러리와 관련된 최근 공개된 문제(CVE-2021-44228)를 인지하고 있으며 필요에 따라 업데이트를 적용하고 있습니다. MSK에 제공된 Apache Kafka 및 Apache Zookeeper 빌드는 현재 이 문제의 영향을 받지 않는 Log4j 1.2.17을 사용하고 있음을 참고하시기 바랍니다. 일부 MSK 특정 서비스 구성 요소는 Log4j 버전 2.0.0 이후의 라이브러리를 사용하며 필요한 경우 패치가 적용됩니다.
Amazon Managed Workflows for Apache Airflow(MWAA)
MWAA는 Apache Log4j2 라이브러리와 관련하여 최근 공개된 문제(CVE-2021-44228)에 관해 Amazon MWAA 서비스 코드(AWS 특정) 및 오픈 소스 코드(Apache Airflow)라는 두 가지 영역에서 고려하고 있습니다.
2021년 12월 14일 기준으로 문제를 해결하기 위해 Amazon MWAA 서비스 코드에 필요한 모든 업데이트를 완료했습니다. Apache Airflow는 Log4j2를 사용하지 않으므로 이 문제의 영향을 받지 않습니다.
Log4j2를 환경에 추가한 고객은 최신 버전으로 업데이트할 것을 강력하게 권고합니다.
Amazon MemoryDB for Redis
Amazon MemoryDB for Redis는 Apache Log4j2 문제(CVE-2021-44228) 패치를 2021년 12월 12일에 완료하였습니다.
Amazon MQ
Amazon MQ는 Apache Log4j2 라이브러리와 관련하여 최근 공개된 문제(CVE-2021-44228)에 관해 Amazon MQ 서비스 코드(AWS 특정) 및 오픈 소스 코드(Apache ActiveMQ 및 RabbitMQ 메시지 브로커)라는 두 가지 영역에서 고려하고 있습니다.
2021년 12월 13일 기준으로 문제를 해결하기 위해 Amazon MQ 서비스 코드에 필요한 모든 업데이트를 완료했습니다.
오픈 소스 메시지 브로커에는 업데이트가 필요하지 않습니다. Amazon MQ에서 제공되는 Apache ActiveMQ의 모든 버전은 Log4j 버전 1.2.x를 사용하므로 이 문제의 영향을 받지 않습니다. RabbitMQ는 Log4j를 사용하지 않으므로 이 문제의 영향을 받지 않습니다.
Amazon Neptune
모든 활성화된 Amazon Neptune 클러스터는 CVE-2021-44228에서 식별된 문제를 완화하도록 자동 업데이트되었습니다.
Amazon OpenSearch Service
Amazon OpenSearch Service는 모든 리전에서 업데이트된 버전의 Log4j2를 포함하는 중요 서비스 소프트웨어 업데이트 R20211203-P2를 릴리즈했습니다. 고객에게 최대한 빨리 OpenSearch 클러스터를 업데이트할 것을 강력하게 권고합니다.
Amazon RDS
Amazon RDS 및 Amazon Aurora는 업데이트를 적용하여 Log4j2의 모든 서비스 사용 사례를 적극적으로 해결하고 있습니다. RDS 기반의 관계형 데이터베이스 엔진은 Apache Log4j2 라이브러리를 포함하지 않습니다. 업스트림 공급 업체가 관련된 경우 권장되는 문제 완화를 적용할 것입니다. 고객은 내부 구성 요소 업데이트 중 간헐적인 이벤트를 겪을 수 있습니다.
Amazon S3
Amazon S3는 2021년 12월 11일에 S3의 데이터 수신 및 송신 관련 Apache Log4j2 문제(CVE-2021-44228)에 대한 패치를 완료했습니다. Log4j2를 사용하는 모든 다른 S3 시스템에 대한 패치도 완료되었습니다.
Amazon Simple Notification Service(SNS)
고객 트래픽을 제공하는 Amazon SNS 시스템은 Log4j2 문제에 대해 패치되었습니다. 고객 트래픽을 제공하는 SNS 시스템과 별개로 운영되는 하위 시스템에 Log4j2 패치를 적용하기 위한 작업이 수행되고 있습니다.
Amazon Simple Workflow Service(SWF)
Amazon Simple Workflow Service(SWF)는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
AWS CloudHSM
3.4.1보다 이전 버전의 AWS CloudHSM JCE SDK는 이 문제의 영향을 받는 Apache Log4j 버전을 포함합니다. 2021년 12월 10일, CloudHSM은 수정된 Apache Log4j 버전이 포함된 JCE SDK v3.4.1을 출시했습니다. 3.4.1보다 이전 버전의 CloudHSM JCE를 사용하고 있으시다면 영향을 받을 수 있으므로 CloudHSM JCE SDK를 3.4.1 및 그 이후 버전으로 업그레이드하여 문제를 완화해야 합니다.
AWS Elastic Beanstalk
AWS Elastic Beanstalk은 Amazon Linux 기본 패키지 리포지토리의 Log4j를 Amazon Linux 1 및 Amazon Linux 2의 해당 Tomcat 플랫폼에 설치합니다. Amazon Linux 1 및 Amazon Linux 2 리포지토리에 사용 가능한 Log4j 버전은 CVE-2021-44228의 영향을 받지 않습니다.
사용하시는 애플리케이션에 Log4j 사용에 대한 구성 변경 사항이 있는 경우 해당 문제를 완화하도록 애플리케이션 코드를 업데이트하시기 바랍니다.
정상적인 사례에 따라 이러한 기본 패키지 리포지토리 버전의 패치된 버전이 릴리스되었다면 Elastic Beanstalk는 패치된 버전을 다음 Amazon Linux 1 및 Amazon Linux 2의 다음 Tomcat 플랫폼 버전 릴리스에 포함할 것입니다.
Amazon Linux의 보안 관련 소프트웨어 업데이트에 대한 추가 정보는 Amazon Linux 보안 센터에서 제공됩니다.
AWS Glue
AWS Glue는 최근 공개된 오픈 소스 Apache ‘Log4j2’ 유틸리티(CVE-2021-44228)에 관련된 보안 문제에 대해 인지하고 있습니다. 지원되는 모든 Glue 버전에 대해 AWS Glue API를 제공하는 제어 영역 플릿을 업데이트했습니다.
AWS Glue는 네트워크와 관리 수준에서 모든 다른 Spark 환경으로부터 분리된 새로운 Spark 환경을 AWS Glue 서비스 계정 내에 생성합니다. ETL 작업은 단일 테넌트 환경에서 실행됩니다. 사용자 정의 jar 파일을 ETL 작업 또는 Apache Log4j의 특정 버전을 포함하는 개발 엔드포인트에 사용하기 위해 업로드했다면, 최신 버전의 Apache Log4j를 사용하도록 jar 파일을 업데이트 하는 것이 좋습니다.
또한 AWS Glue는 지원되는 모든 리전에서 새로운 Spark 환경으로의 업데이트를 적극적으로 적용하고 있습니다. 질문이 있거나 추가 지원이 필요하면 AWS Support로 문의하시기 바랍니다.
AWS Greengrass
2021년 12월 10일 기준으로 Log4j를 사용하는 모든 AWS Greengrass V2 구성 요소에 대한 업데이트가 배포될 수 있도록 준비되었습니다. 해당되는 구성 요소는 스트림 관리자(2.0.14) 및 보안 터널링(1.0.6)입니다. AWS는 해당 Greengrass 구성 요소를 사용하시는 고객 여러분에게 최신 버전을 디바이스에 배포하도록 권장합니다.
Greengrass 버전 1.10.x 및 1.11.x의 스트림 관리자 기능은 Log4j를 사용합니다. 2021년 12월 12일 기준으로 사용할 수 있는 Greengrass 패치 버전 1.10.5 및 1.11.5에는 스트림 관리자 기능에 대한 업데이트가 포함되어 있습니다. 스트림 관리자를 디바이스에서 활성화한(또는 앞으로 활성화할 수 있는) 고객 여러분은 디바이스에서 버전 1.10.x 및 1.11.x를 최신 버전으로 업데이트할 것을 권장합니다.
AWS Lake Formation
AWS Lake Formation 서비스 호스트에서는 CVE-2021-44228에서 참조된 문제를 해결할 수 있도록 최신 Log4j 버전으로의 업데이트를 시행하고 있습니다.
AWS Lambda
AWS Lambda는 관리형 런타임 또는 기본 컨테이너 이미지에 Log4j2를 포함하지 않습니다. 따라서 CVE-2021-44228에 설명된 문제의 영향을 받지 않습니다. 함수에 aws-lambda-java-log4j2 라이브러리를 사용하는 고객은 버전 1.3.0으로 업데이트하고 재배포해야 합니다.
AWS SDK
Java용 AWS SDK는 로깅 퍼사드를 사용하며 Log4j에 대한 런타임 종속성이 없습니다. 현재로서는 해당 문제에 관해 Java용 AWS SDK에 변경 사항이 필요하지 않다고 봅니다.
AWS Step Functions
AWS Step Functions는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
AWS Web Application Firewall(WAF)
최근 Log4j 보안 문제와 관련된 탐지 및 완화를 개선하기 위해, CloudFront, Application Load Balancer(ALB), API Gateway 및 AppSync 고객은 필요에 따라 AWS WAF를 사용할 수 있으며 AWS 관리형 규칙(AMR) 2가지(AWSManagedRulesKnownBadInputsRuleSet, AWSManagedRulesAnonymousIpList)를 적용할 수 있습니다.
AWSManagedRulesKnownBadInputsRuleSet은 요청 uri, 바디 및 일반적으로 사용되는 헤더를 검사하는 반면, AWSManagedRulesAnonymousIpList는 뷰어 자격 증명 난독화를 허용하는 서비스로부터의 요청을 차단하는 데 도움을 줍니다. AWS WAF 웹 ACL을 생성하여 이러한 규칙을 적용할 수 있으며, 하나 또는 두 가지 룰셋을 웹 ACL에 추가하고, 웹 ACL을 CloudFront 배포, ALB, API Gateway 또는 AppSync GraphQL API와 연결합니다.
자세히 알아본 것과 같이 AWSManagedRulesKnownBadInputsRuleSet 규칙 그룹을 계속 반복합니다. AWSManagedRulesKnownBadInputsRuleSet 자동 업데이트를 받으려면 기본 버전을 선택하세요. AWS WAF Classic을 사용하는 고객은 AWS WAF를 마이그레이션하거나 사용자 정의 정규식 일치 조건을 생성해야 합니다. 고객은 한 곳에서 여러 개의 AWS 계정과 리소스에 걸친 AWS WAF 규칙을 구성할 수 있는 AWS Firewall Manager를 사용할 수 있습니다. 규칙을 그룹화하고, 정책을 수립한 후, 이러한 정책을 전체 인프라에 걸쳐 중앙에서 적용할 수 있습니다.
NICE
버전 2020.0~2021.0-r1307의 EnginFrame에 포함된 Apache Log4j 라이브러리의 CVE로 인해, NICE는 최신 EnginFrame 버전으로 업그레이드하거나, 지원 웹사이트의 지침에 따라 EnginFrame 설치 환경에서 Log4j 라이브러리를 업데이트할 것을 권장합니다.
궁금한 사항이 있으면 언제든 문의하세요.
AWS는 최근 공개된 오픈 소스 Apache ‘Log4j2’ 유틸리티(CVE-2021-44228)와 관련된 보안 문제에 대해 인지하고 있습니다. 당사는 적극적으로 이 문제를 모니터링하고 있으며, Log4j2를 사용하거나 서비스의 일부로 Log4j2를 고객에게 제공하는 모든 AWS 서비스에 대해 이 문제를 해결하기 위해 작업하고 있습니다.
Log4j2가 포함된 환경을 관리하시는 모든 고객 여러분은 최신 버전 또는 각 운영 체계의 소프트웨어 업데이트 메커니즘으로 업데이트하시기 바랍니다. 서비스별 추가 정보는 아래와 같습니다.
추가 세부 정보나 지원이 필요하시면 AWS Support에 문의하세요.
S3
S3는 2021년 12월 11일 S3 데이터 수신 및 송신 관련 Apache Log4j2 문제(CVE-2021-44228)에 대한 패치를 완료했습니다. Log4j2를 사용하는 모든 다른 S3 시스템에 대한 패치도 완료되었습니다.
Amazon OpenSearch
Amazon OpenSearch Service는 업데이트된 버전의 Log4j2를 포함하는 서비스 소프트웨어 업데이트 버전 R20211203-P2를 배포하고 있습니다. 각 리전에서 업데이트를 사용할 수 있게 되면 해당 고객에게 알려드리고, 전반적으로 사용할 수 있게 되면 이 공지를 업데이트하겠습니다.
AWS Lambda
AWS Lambda는 관리형 런타임 또는 기본 컨테이너 이미지에 Log4j2를 포함하지 않습니다. 따라서 CVE-2021-44228에 설명된 문제의 영향을 받지 않습니다. 함수에 aws-lambda-java-log4j2 라이브러리를 사용하는 고객은 버전 1.3.0으로 업데이트하고 재배포해야 합니다.
AWS CloudHSM
3.4.1보다 이전 버전의 CloudHSM JCE SDK는 이 문제의 영향을 받는 Apache Log4j 버전을 포함합니다. 2021년 12월 10일, CloudHSM은 수정된 Apache Log4j 버전이 포함된 JCE SDK v3.4.1을 출시했습니다. 3.4.1보다 이전 버전의 CloudHSM JCE를 사용하고 있으시다면 영향을 받을 수 있으므로 CloudHSM JCE SDK를 3.4.1 및 그 이후 버전으로 업그레이드하여 문제를 완화해야 합니다.
Amazon EC2
Amazon Linux 1 및 Amazon Linux 2 리포지토리에 사용 가능한 Log4j 버전은 CVE-2021-44228의 영향을 받지 않습니다. Amazon Linux의 보안 관련 소프트웨어 업데이트에 대한 추가 정보는 Amazon Linux 보안 센터를 참조하세요.
API Gateway
문제를 완화할 수 있는 Log4j2 버전을 사용하도록 API Gateway를 업데이트하고 있습니다. 해당 업데이트 동안 일부 API에서 주기적으로 대기 시간 증가가 있을 수 있습니다.
AWS Greengrass
2021년 12월 10일 기준으로 Log4j를 사용하는 모든 Greengrass V2 구성 요소에 대해 배포할 수 있는 업데이트가 준비되었습니다. 해당되는 구성 요소는 스트림 관리자(2.0.14) 및 보안 터널링(1.0.6)입니다. AWS는 해당 Greengrass 구성 요소를 사용하시는 고객 여러분에게 최신 버전을 디바이스에 배포하도록 권장합니다.
Greengrass 버전 1.10.x 및 1.11.x의 스트림 관리자 기능은 Log4j를 사용합니다. 2021년 12월 12일 기준으로 사용할 수 있는 Greengrass 패치 버전 1.10.5 및 1.11.5에는 스트림 관리자 기능에 대한 업데이트가 포함되어 있습니다. 스트림 관리자를 디바이스에서 활성화한(또는 앞으로 활성화할 수 있는) 고객 여러분은 디바이스에서 버전 1.10.x 및 1.11.x를 최신 버전으로 업데이트할 것을 권장합니다.
CloudFront
CloudFront 서비스는 CVE-2021-44228로 식별된 문제를 완화하도록 업데이트되었습니다. 당사의 POP에서 실행되는 서비스를 처리하는 CloudFront 요청은 Java로 작성되지 않으므로 이 문제의 영향을 받지 않습니다.
Elastic BeanStalk
AWS Elastic Beanstalk은 Amazon Linux 기본 패키지 리포지토리의 Log4j를 Amazon Linux 1 및 Amazon Linux 2의 해당 Tomcat 플랫폼에 설치합니다. Amazon Linux 1 및 Amazon Linux 2 리포지토리에 사용 가능한 Log4j 버전은 CVE-2021-44228의 영향을 받지 않습니다.
사용하시는 애플리케이션에 Log4j 사용에 대한 구성 변경 사항이 있는 경우 해당 문제를 완화하도록 애플리케이션 코드를 업데이트하시기 바랍니다.
정상적인 사례에 따라 이러한 기본 패키지 리포지토리 버전의 패치된 버전이 릴리스되었다면 Elastic Beanstalk는 패치된 버전을 다음 Amazon Linux 1 및 Amazon Linux 2의 다음 Tomcat 플랫폼 버전 릴리스에 포함할 것입니다.
Amazon Linux의 보안 관련 소프트웨어 업데이트에 대한 추가 정보는 Amazon Linux 보안 센터를 참조하세요.
EMR
Apache Log4j 2.0~2.14.1 사이의 버전이 신뢰할 수 없는 소스로부터 입력을 처리할 때 CVE-2021-44228의 영향을 받습니다. EMR 5 및 EMR 6 릴리스를 사용하여 시작되는 EMR 클러스터는 이와 같은 버전의 Apache Log4j를 사용하는 Apache Hive, Flink, HUDI, Presto, Trino와 같은 오픈 소스 프레임워크를 포함합니다. EMR의 기본 구성을 사용하여 클러스터를 시작한 경우 클러스터는 신뢰할 수 없는 소스로부터의 입력을 처리하지 않습니다.
당사는 EMR 클러스터에 설치된 오픈 소스 프레임워크가 신뢰할 수 없는 소스로부터의 정보를 처리할 때 발생하는 문제(CVE-2021-44228에서 논의)를 완화하는 업데이트 구축에 적극적으로 임하고 있습니다.
Lake Formation
Lake Formation 서비스 호스트에서는 CVE-2021-44228에서 참조된 보안 문제를 해결할 수 있도록 최신 Log4j 버전으로의 업데이트를 적극적으로 시행하고 있습니다.
AWS SDK
AWS SDK for Java는 로깅 퍼사드를 사용하며 Log4j에 대한 런타임 종속성이 없습니다. 현재로서는 해당 문제에 관해 Java용 AWS SDK에 변경 사항이 필요하지 않다고 봅니다.
AMS
해당 문제를 적극적으로 모니터링하고 있으며 Log4j2를 사용하는 AMS 서비스에 대해 이를 해결할 수 있도록 작업 중입니다. Log4j2가 포함된 환경을 관리하시는 모든 고객 여러분은 최신 버전 또는 각 운영 체계의 소프트웨어 업데이트 메커니즘을 사용하여 업데이트하시기 바랍니다.
Amazon Neptune
Amazon Neptune은 Apache Log4j2 라이브러리를 주변 구성 요소로 포함하지만 이 문제는 Neptune 사용자에게 영향을 주지 않는다고 봅니다. 무수한 경고들을 감안하여, Neptune 클러스터는 이 문제를 해결하는 Log4j2 버전을 사용하도록 자동으로 업데이트될 예정입니다. 고객은 해당 업데이트 동안 간헐적인 이벤트를 겪을 수 있습니다.
NICE
버전 2020.0~2021.0-r1307의 EnginFrame에 포함된 Apache Log4j 라이브러리의 CVE로 인해, NICE는 최신 EnginFrame 버전으로 업그레이드하거나, 지원 웹사이트의 지침에 따라 EnginFrame 설치 환경에서 Log4j 라이브러리를 업데이트할 것을 권장합니다.
궁금한 사항이 있으면 언제든 문의하세요.
Kafka
Managed Streaming for Apache Kafka는 Apache Log4j2 라이브러리에 관해 최근 공개된 문제(CVE-2021-44228)를 인지하고 있으며 필요에 따라 업데이트를 적용하고 있습니다. MSK에 제공된 Apache Kafka 및 Apache Zookeeper 빌드는 현재 이 문제의 영향을 받지 않는 log4j 1.2.17를 사용하고 있음을 참고하시기 바랍니다. 일부 MSK 특정 서비스 구성 요소는 log4j 버전 2.0.0 이상의 라이브러리를 사용하며 필요한 경우 패치가 적용됩니다.
AWS Glue
AWS Glue는 최근 공개된 오픈 소스 Apache ‘Log4j2’ 유틸리티(CVE-2021-44228)에 관련된 보안 문제에 대해 인지하고 있습니다. 지원되는 모든 Glue 버전에 대해 AWS Glue API를 제공하는 제어 영역 플릿을 업데이트했습니다.
AWS Glue는 네트워크와 관리 수준에서 모든 다른 Spark 환경으로부터 분리된 새로운 Spark 환경을 AWS Glue 서비스 계정 내에 생성합니다. ETL 작업은 단일 테넌트 환경에서 실행됩니다. ETL 작업이 특정 버전의 Apache Log4j를 로드한다면 최신 버전 Apache Log4j를 사용하도록 스크립트를 업데이트하라고 안내받을 것입니다. AWS Glue 개발 엔드포인트를 사용해 스크립트를 작성한다면 마찬가지로 사용하시는 Log4j 버전을 업데이트하라고 안내받을 것입니다.
또한 AWS Glue는 지원되는 모든 리전에서 새로운 Spark 환경으로의 업데이트를 적극적으로 적용하고 있습니다. 질문이 있거나 추가 지원이 필요하면 AWS Support를 통해 문의하시기 바랍니다.
RDS
Amazon RDS 및 Amazon Aurora는 업데이트를 적용하여 Log4j2의 모든 서비스 사용 사례를 적극적으로 해결하고 있습니다. RDS 기반의 관계형 데이터베이스 엔진은 Apache Log4j 라이브러리를 포함하지 않습니다. 업스트림 공급 업체가 관련된 경우 권장되는 문제 완화를 적용할 것입니다. 고객은 내부 구성 요소 업데이트 동안 간헐적인 이벤트를 겪을 수 있습니다.
Amazon Connect
Amazon Connect 서비스는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon DynamoDB
Amazon DynamoDB 및 Amazon DynamoDB Accelerator(DAX)는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon Keyspaces(Apache Cassandra용)
Amazon Keyspaces(Apache Cassandra용)는 CVE-2021-44228에서 식별된 문제를 완화하도록 업데이트되었습니다.
Amazon MQ
Amazon MQ는 Apache Log4j2 라이브러리와 관련하여 최근 공개된 문제(CVE-2021-44228)에 관해 Amazon MQ 서비스 코드(AWS 특정) 및 오픈 소스 코드(Apache ActiveMQ 및 RabbitMQ 메시지 브로커)라는 두 가지 영역에서 고려하고 있습니다.
2021년 12월 13일 기준으로 문제를 해결하기 위해 Amazon MQ 서비스 코드에 필요한 모든 업데이트를 완료했습니다.
오픈 소스 메시지 브로커에는 업데이트가 필요하지 않습니다. Amazon MQ에서 제공되는 Apache ActiveMQ의 모든 버전은 Log4j 버전 1.2.x를 사용하므로 이 문제의 영향을 받지 않습니다. RabbitMQ는 Log4j를 사용하지 않으므로 이 문제의 영향을 받지 않습니다.
Kinesis Data Analytics
Kinesis Data Analytics의 지원을 받는 Apache Flink 버전은 Apache Log4j 버전 2.0~2.14.1을 포함합니다. Kinesis Data Analytics 애플리케이션은 단일 테넌트의 독립된 환경에서 운영되므로 다른 애플리케이션과 상호작용하지 않습니다.
모든 AWS 리전의 Kinesis Data Analytics 고객 애플리케이션에 Log4j 버전을 업데이트하는 중입니다. 2021년 12월 12일 6:30 PM(PST 기준) 이후로 시작하거나 업데이트된 애플리케이션은 자동으로 업데이트된 패치를 수신합니다. 애플리케이션이 그 전에 시작 또는 업데이트된 고객은 Kinesis Data Analytics UpdateApplication API를 호출하여 업데이트된 Log4j 버전에서 애플리케이션이 실행되고 있는지 확인할 수 있습니다. UpdateApplication API에 대한 추가 정보를 참조하세요.
AWS는 최근 공개된 오픈 소스 Apache ‘Log4j2’ 유틸리티(CVE-2021-44228)와 관련된 보안 문제에 대해 인지하고 있습니다. 당사는 적극적으로 이 문제를 모니터링하고 있으며, Log4j2를 사용하거나 서비스의 일부로 Log4j2를 고객에게 제공하는 모든 AWS 서비스에 대해 이 문제를 해결하기 위해 작업하고 있습니다.
Log4j2가 포함된 환경을 관리하시는 모든 고객 여러분은 최신 버전 또는 각 운영 체계의 소프트웨어 업데이트 메커니즘으로 업데이트하시기 바랍니다.
8u121 또는 8u191 이후의 JDK(JDK 11 및 이후 버전 포함)에서 Log4j2를 사용하면 문제가 완화된다는 보고가 있지만 이는 부분적인 완화에 지나지 않습니다. 종합적인 솔루션은 Log4j2를 2.15로 업그레이드하는 것이며, 2.15보다 이전의 Log4j2 버전은 JDK 배포 또는 사용된 버전과 상관 없이 영향을 받는다고 간주해야 합니다.
서비스별 추가 정보는 아래와 같습니다.
추가 세부 정보나 지원이 필요하시면 AWS Support에 문의하세요.
API Gateway
문제를 완화할 수 있는 Log4j2 버전을 사용하도록 API Gateway를 업데이트하고 있습니다. 해당 업데이트 동안 일부 API에서 주기적으로 대기 시간 증가가 있을 수 있습니다.
AWS Greengrass
2021년 12월 10일자로 Apache Log4j2를 사용하는 모든 Greengrass V2 구성 요소에 대해 배포할 수 있는 업데이트가 준비되었습니다. 해당되는 구성 요소는 스트림 관리자(2.0.14) 및 보안 터널링(1.0.6)입니다. AWS는 해당 Greengrass 구성 요소를 사용하시는 고객 여러분에게 최신 버전을 디바이스에 배포하도록 권장합니다.
Greengrass 버전 1.10 및 1.11에 대한 업데이트는 2021년 12월 17일에 사용할 수 있으리라 예상됩니다. 디바이스에서 스트림 관리자를 사용하시는 고객은 해당 버전에 대해 Greengrass 바이너리를 사용할 수 있는 즉시 디바이스를 업데이트하실 것을 권장합니다. 그동안 고객은 Greengrass 1.10 또는 1.11의 스트림 관리자를 사용하는 사용자 지정 Lambda 코드가 고객이 제어할 수 없는 임의 스트림 이름 및 파일 이름을 (S3 내보내기에 대해) 사용하지 않도록 해야 합니다(예: “${" 텍스트를 포함하는 스트림 이름 또는 파일 이름).
Amazon MQ
Amazon MQ는 Apache Log4j2 라이브러리와 관련하여 최근 공개된 문제(CVE-2021-44228)에 관해 Amazon MQ 서비스 코드(AWS 특정) 및 오픈 소스 코드(Apache ActiveMQ 및 RabbitMQ 메시지 브로커)라는 2가지 영역에서 고려하고 있습니다.
문제를 해결하기 위해 Amazon MQ 서비스 코드에 필요한 모든 업데이트를 적용하고 있습니다.
오픈 소스 메시지 브로커에는 업데이트가 필요하지 않습니다. Amazon MQ에서 제공되는 Apache ActiveMQ의 모든 버전은 Log4j 버전 1.x를 사용하므로 이 문제의 영향을 받지 않습니다. RabbitMQ는 Log4j2를 사용하지 않으므로 이 문제의 영향을 받지 않습니다.
CloudFront
CloudFront 서비스는 CVE-2021-44228로 식별된 문제를 완화하도록 업데이트되었습니다. 당사의 POP에서 실행되는 서비스를 처리하는 CloudFront 요청은 Java로 작성되지 않으므로 이 문제의 영향을 받지 않습니다.
AWS Elastic Beanstalk
AWS Elastic Beanstalk은 Amazon Linux 기본 패키지 리포지토리의 Log4j를 Amazon Linux 1 및 Amazon Linux 2의 해당 Tomcat 플랫폼에 설치합니다. Amazon Linux 1 및 Amazon Linux 2 리포지토리에 사용 가능한 Log4j 버전은 CVE-2021-44228의 영향을 받지 않습니다.
사용하시는 애플리케이션에 Log4j 사용에 대한 구성 변경 사항이 있는 경우 해당 문제를 완화하도록 애플리케이션 코드를 업데이트하시기 바랍니다.
정상적인 사례에 따라 이러한 기본 패키지 리포지토리 버전의 패치된 버전이 릴리스되었다면 Elastic Beanstalk는 패치된 버전을 다음 Amazon Linux 1 및 Amazon Linux 2의 다음 Tomcat 플랫폼 버전 릴리스에 포함할 것입니다.
Amazon Linux의 보안 관련 소프트웨어 업데이트에 대한 추가 정보는 Amazon Linux 보안 센터를 참조하세요.
EMR
Apache Log4j 2.0~2.14.1 사이의 버전이 신뢰할 수 없는 소스로부터 입력을 처리할 때 CVE-2021-44228의 영향을 받습니다. EMR 5 및 EMR 6 릴리스를 사용하여 시작되는 EMR 클러스터는 이와 같은 버전의 Apache Log4j를 사용하는 Apache Hive, Flink, HUDI, Presto, Trino와 같은 오픈 소스 프레임워크를 포함합니다. EMR의 기본 구성을 사용하여 클러스터를 시작한 경우 클러스터는 신뢰할 수 없는 소스로부터의 입력을 처리하지 않습니다.
당사는 EMR 클러스터에 설치된 오픈 소스 프레임워크가 신뢰할 수 없는 소스로부터의 정보를 처리할 때 발생하는 문제(CVE-2021-44228에서 논의)를 완화하는 업데이트 구축에 적극적으로 임하고 있습니다.
Lake Formation
Lake Formation 서비스 호스트에서는 CVE-2021-44228에서 참조된 문제를 해결할 수 있도록 최신 Log4j 버전으로의 업데이트를 적극적으로 시행하고 있습니다.
S3
S3의 데이터 수신 및 송신은 Log4j2 문제에 대해 패치가 적용되었습니다. S3 데이터 수신 및 송신과 별개로 운영되는 S3 시스템에 Log4j2 패치를 적용하기 위한 작업이 수행되고 있습니다.
AWS SDK
AWS SDK for Java는 로깅 퍼사드를 사용하며 Log4j에 대한 런타임 종속성이 없습니다. 현재로서는 해당 문제에 관해 Java용 AWS SDK에 변경 사항이 필요하지 않다고 봅니다.
AMS
해당 문제를 적극적으로 모니터링하고 있으며 Log4j2를 사용하는 AMS 서비스에 대해 이를 해결할 수 있도록 작업 중입니다. Log4j2가 포함된 환경을 관리하시는 모든 고객 여러분은 최신 버전 또는 각 운영 체계의 소프트웨어 업데이트 메커니즘을 사용하여 업데이트하시기 바랍니다.
AMS는 모든 인터넷 액세스 가능 애플리케이션 엔드포인트에 대해 웹 애플리케이션 방화벽(WAF)을 배포하도록 권장합니다. AWS WAF 서비스는 AWSManagedRulesAnonymousIpList 규칙 세트(TOR 노드와 같이 고객 정보를 익명화한다고 알려진 소스 차단 규칙을 포함함) 및 AWSManagedRulesKnownBadInputsRuleSet 규칙 세트(URI, 요청 본문, 일반적으로 사용되는 헤더를 검사해 Log4j 및 기타 문제와 관련된 요청을 차단하도록 도움)를 배포하여 이 문제에 대해 추가적인 방어 계층을 제공하도록 구성할 수 있습니다.
AMS는 계속해서 이 문제를 모니터링하고 추가 세부 정보 및 권장 사항을 가능한 즉시 제공하겠습니다.
Amazon Neptune
Amazon Neptune은 Apache Log4j2 라이브러리를 주변 구성 요소로 포함하지만 이 문제는 Neptune 사용자에게 영향을 주지 않는다고 봅니다. 무수한 경고들을 감안하여, Neptune 클러스터는 이 문제를 해결하는 Log4j2 버전을 사용하도록 자동으로 업데이트될 예정입니다. 고객은 해당 업데이트 동안 간헐적인 이벤트를 겪을 수 있습니다.
NICE
버전 2020.0~2021.0-r1307의 EnginFrame에 포함된 Apache Log4j 라이브러리의 CVE로 인해, NICE는 최신 EnginFrame 버전으로 업그레이드하거나, 지원 웹사이트의 지침에 따라 EnginFrame 설치 환경에서 Log4j 라이브러리를 업데이트할 것을 권장합니다.
궁금한 사항이 있으면 언제든 문의하세요.
Kafka
Managed Streaming for Apache Kafka는 Apache Log4j2 라이브러리에 관해 최근 공개된 문제(CVE-2021-44228)를 인지하고 있으며 필요에 따라 업데이트를 적용하고 있습니다. MSK에 제공된 Apache Kafka 및 Apache Zookeeper 빌드는 현재 이 문제의 영향을 받지 않는 Log4j 1.2.17를 사용하고 있음을 참고하시기 바랍니다. 일부 MSK 특정 서비스 구성 요소는 Log4j 버전 2.0.0 이상의 라이브러리를 사용하며 필요한 경우 패치가 적용됩니다.
AWS Glue
AWS Glue는 최근 공개된 오픈 소스 Apache ‘Log4j2’ 유틸리티(CVE-2021-44228)에 관련된 보안 문제에 대해 인지하고 있습니다. 지원되는 모든 Glue 버전에 대해 AWS Glue API를 제공하는 제어 영역 플릿을 업데이트했습니다.
AWS Glue는 네트워크와 관리 수준에서 모든 다른 Spark 환경으로부터 분리된 새로운 Spark 환경을 AWS Glue 서비스 계정 내에 생성합니다. ETL 작업은 단일 테넌트 환경에서 실행됩니다. ETL 작업이 특정 버전의 Apache Log4j를 로드한다면 최신 버전 Apache Log4j를 사용하도록 스크립트를 업데이트하라고 안내받을 것입니다. AWS Glue 개발 엔드포인트를 사용해 스크립트를 작성한다면 마찬가지로 사용하시는 Log4j 버전을 업데이트하라고 안내받을 것입니다.
또한 AWS Glue는 지원되는 모든 리전에서 새로운 Spark 환경으로의 업데이트를 적극적으로 적용하고 있습니다. 질문이 있거나 추가 지원이 필요하면 AWS Support를 통해 문의하시기 바랍니다.
RDS
Amazon RDS 및 Amazon Aurora는 업데이트를 적용하여 Log4j2의 모든 서비스 사용 사례를 적극적으로 해결하고 있습니다. RDS 기반의 관계형 데이터베이스 엔진은 Apache Log4j 라이브러리를 포함하지 않습니다. 업스트림 공급 업체가 관련된 경우 권장되는 문제 완화를 적용할 것입니다. 고객은 내부 구성 요소 업데이트 동안 간헐적인 이벤트를 겪을 수 있습니다.
OpenSearch
Amazon OpenSearch Service는 업데이트된 버전의 Log4j2를 포함하는 서비스 소프트웨어 업데이트 버전 R20211203-P2를 배포하고 있습니다. 각 리전에서 업데이트를 사용할 수 있게 되면 해당 고객에게 알려드리고, 전반적으로 사용할 수 있게 되면 이 공지를 업데이트하겠습니다.