Дата первой публикации: 10.12.2021, 19:20 по тихоокеанскому времени

Все обновления, касающиеся этой проблемы, перемещены сюда.

Компания AWS знает о недавно возникнувшей проблеме безопасности в программе Apache "Log4j2" с открытым исходным кодом (CVE-2021-44228). В данный момент мы следим за проблемой и работаем над ее решением во всех сервисах AWS, которые либо используют Log4j2, либо предоставляют его клиентам как часть сервиса.

Настоятельно рекомендуем клиентам, которые управляют средами с Log4j2, выполнить обновление до последней версии, доступное по адресу https://logging.apache.org/log4j/2.x/download.html или через механизм обновления программного обеспечения в операционной системе. Дополнительная информация о конкретных сервисах приведена ниже.

Если вам требуются более подробные сведения или помощь, обратитесь в службу поддержки AWS.

Amazon EC2

CVE-2021-44228 не влияет на версии Log4j, доступные в репозиториях Amazon Linux 1 и Amazon Linux 2. Подробнее об обновлениях ПО, касающегося безопасности, для Amazon Linux см. по адресу: https://alas.aws.amazon.com.

AWS WAF / Shield

Мы обновили AMR AWSManagedRulesKnownBadInputsRuleSet в сервисе AWS WAF, чтобы обеспечить лучшее выявление рисков, связанных с недавней проблемой безопасности Log4j, и уменьшить их последствия. Обеспечить дополнительный уровень защиты можно с помощью специальной опции, которая проверяет uri, тело запроса и часто используемые заголовки. Клиентам CloudFront, Application Load Balancer (ALB), API Gateway и AppSync эта опция уже доступна: нужно создать веб-список ACL AWS WAF, добавить в него AWSManagedRulesKnownBadInputsRuleSet, а затем связать список с базой раздачи CloudFront, ALB, API Gateway или API AppSync GraphQL.

Подробнее о начале работы с AWS WAF см. на этой странице: https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html

Дополнительную документацию по включению AMR см. здесь: https://docs.aws.amazon.com/waf/latest/developerguide/waf-using-managed-rule-groups.html

Обратите внимание, что AMR недоступны в WAF Classic. Для использования опции по уменьшению рисков нужно выполнить обновление до AWS WAF (wafv2).

Amazon OpenSearch

Мы вносим обновления, которые позволят всем доменам Amazon OpenSearch Service использовать версию "Log4j2”, устраняющую проблему. Во время процесса обновления возможна нестабильная работа доменов.

AWS Lambda

AWS Lambda не использует Log4j2 в управляемых средах выполнения или базовых образах контейнеров. Следовательно, не подвергается влиянию проблемы, описанной в CVE-2021-44228. Клиентам, использующим в своих функциях библиотеку aws-lambda-java-log4j2 (https://repo1.maven.org/maven2/com/amazonaws/aws-lambda-java-log4j2/), необходимо обновить ее до версии 1.3.0 и развернуть повторно.

AWS CloudHSM

Ранние версии CloudHSM JCE SDK (до 3.4.1) включают версию Apache Log4j, на которую влияет данная проблема. 10 декабря 2021 года CloudHSM выпустила версию JCE SDK 3.4.1 с исправленной версией Apache Log4j. Указанная проблема может повлиять на ранние версии CloudHSM JCE (до 3.4.1). Чтобы это исправить, необходимо обновить CloudHSM JCE SDK до версии 3.4.1 или более новой [1].
[1] https://docs.aws.amazon.com/cloudhsm/latest/userguide/java-library-install.html