Data inicial de publicação: 10/12/2021 19h20 PDT

Todas as atualizações desse problema foram movidas aqui.

A AWS está ciente do problema de segurança recentemente divulgado que está relacionado ao utilitário de código aberto Apache “Log4j2" (CVE-2021-44228). Estamos monitorando ativamente esse problema e trabalhando para solucioná-lo em qualquer serviço da AWS que use o Log4j2 ou que o forneça aos clientes como parte do seu funcionamento.

Recomendamos que os clientes que gerenciam ambientes que incluem o Log4j2 atualizem para a versão mais recente, disponível em https://logging.apache.org/log4j/2.x/download.html ou usem o mecanismo de atualização de software de seus sistemas operacionais. Informações adicionais específicas de cada serviço estão indicadas a seguir.

Se precisar de mais detalhes ou assistência, entre em contato com o AWS Support.

Amazon EC2

As versões do Log4j disponíveis nos repositórios do Amazon Linux 1 e do Amazon Linux 2 não são afetadas pelo CVE-2021-44228. Informações adicionais sobre atualizações de software relacionadas à segurança para o Amazon Linux estão disponíveis em: https://alas.aws.amazon.com.

AWS WAF/Shield

Para melhorar a detecção e a atenuação de riscos decorrentes do recente problema de segurança com o Log4j, atualizamos o AMR AWSManagedRulesKnownBadInputsRulesSet no serviço AWS WAF. Para aproveitar imediatamente essa opção de atenuação, que inspeciona o URI, o corpo da solicitação e os cabeçalhos comumente utilizados para adicionar outra camada de defesa, os clientes do CloudFront, do Application Load Balancer (ALB), do API Gateway e do AppSync podem criar uma ACL da Web do AWS WAF, adicionar AWSManagedRulesKnownBadInputsRulesSet à ACL da Web e, em seguida, associar essa ACL da Web à distribuição do CloudFront, ao ALB, ao API Gateway ou a APIs GraphQL do AppSync.

Mais informações sobre como começar a usar o AWS WAF estão disponíveis aqui: https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html

A documentação adicional para habilitar AMRs está disponível aqui: https://docs.aws.amazon.com/waf/latest/developerguide/waf-using-managed-rule-groups.html

Como AMRs não estão disponíveis no WAF Classic, atualize para o AWS WAF (wafv2) para aproveitar essa opção de atenuação.

Amazon OpenSearch

Estamos atualizando todos os domínios do Amazon OpenSearch Service para usar uma versão do “Log4j2” que solucione o problema. Você pode observar atividades intermitentes nos seus domínios durante o processo de atualização.

AWS Lambda

O AWS Lambda não inclui o Log4j2 em seus tempos de execução gerenciados ou em imagens de contêiner base. Portanto, estes não são afetados pelo problema descrito no CVE-2021-44228. Os clientes que usam a biblioteca aws-lambda-java-log4j2 (https://repo1.maven.org/maven2/com/amazonaws/aws-lambda-java-log4j2/) em suas funções precisarão atualizar para a versão 1.3.0 e repetir a implantação.

AWS CloudHSM

As versões do CloudHSM JCE SDK anteriores a 3.4.1 incluem uma versão do Apache Log4j afetada por esse problema. Em 10 de dezembro de 2021, o CloudHSM lançou o JCE SDK v3.4.1 com uma versão fixa do Apache Log4j. Se estiver usando versões do CloudHSM JCE anteriores a 3.4.1, é possível que você seja afetado e, portanto, convém corrigir o problema atualizando o CloudHSM JCE SDK para a versão 3.4.1 ou superior [1].
[1] https://docs.aws.amazon.com/cloudhsm/latest/userguide/java-library-install.html