Компания AWS знает о недавно возникнувших проблемах в программе Apache Log4j2 с открытым исходным кодом (CVE-2021-44228 и CVE-2021-45046).

Реагирование на проблемы безопасности, подобные указанной выше, демонстрирует ценность наличия нескольких уровней защитных технологий, которые остаются незаменимыми для обеспечения безопасности данных и рабочих нагрузок наших клиентов.

Мы крайне серьезно относимся к этой проблеме, и наша команда инженеров мирового класса полностью развернула для всех сервисов AWS разработанное Amazon горячее исправление Java, которое вы можете найти здесь. Горячее исправление обновляет виртуальную машину Java, отключая загрузку класса Java Naming and Directory Interface (JNDI) и заменяя его на безопасное оповещение, благодаря чему удается обойти ошибки CVE-2021-44228 и CVE-2021-45046.  Вскоре мы завершим развертывание обновленной библиотеки Log4j для всех наших сервисов.  Более подробную информацию о горячем исправлении Java можно найти по ссылке https://aws.amazon.com/blogs/security/open-source-hotpatch-for-apache-log4j-vulnerability/.

Даже после развертывания горячего исправления клиентам следует развернуть обновленную библиотеку Log4j с максимально доступной скоростью и безопасностью – именно так мы поступаем в AWS.

Для получения дополнительных сведений о шагах для определения и исправления проблем Log4j CVE с помощью сервисов AWS прочтите нашу свежую публикацию в блоге.

После выполнения инструкций из этой версии бюллетеня дальнейших обновлений для отдельных сервисов не понадобится.

Если вам требуются более подробные сведения или помощь, обратитесь в службу поддержки AWS Support.

Amazon Connect

В Amazon Connect выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Мы рекомендуем клиентам самостоятельно изучить компоненты своей среды, находящиеся за пределами границ сервиса Amazon Connect (например, функции Lambda, которые вызываются из потоков обработки вызовов), так как для них может потребоваться отдельное или дополнительное клиентское исправление.

Amazon Chime

В сервисах Amazon Chime SDK выполнены обновления для устранения проблем, описанных в CVE-2021-44228 и CVE-2021-45046.

В сервисах Amazon Chime выполнены обновления для устранения проблем, описанных в CVE-2021-44228 и CVE-2021-45046.

Amazon EMR

CVE-2021-44228 влияет на обработку входящих данных из ненадежных источников в Apache Log4j версий 2.0-2.14.1. Эти версии Apache Log4j используются в кластерах EMR, которые были запущены в выпусках EMR 5 и EMR 6, включая платформы с открытым исходным кодом, например Apache Hive, Apache Flink, HUDI, Presto и Trino. Если запустить кластер с конфигурацией EMR по умолчанию, то он не обработает входящие данные из ненадежных источников. Многие клиенты используют установленные на кластеры EMR платформы с открытым исходным кодом для обработки и внесения в журнал данных, вводящихся из недоверенных источников. Поэтому AWS рекомендует вам применять решение, описанное здесь.

Amazon Fraud Detector

В сервисах Amazon Fraud Detector выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon Kendra

В Amazon Kendra выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon Lex

В Amazon Lex выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon Lookout for Equipment

В Amazon Lookout for Equipment выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon Macie

В сервисе Amazon Macie выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon Macie Classic

В сервисе Amazon Macie Classic выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon Monitron

В Amazon Monitron выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon RDS

В Amazon RDS и Amazon Aurora выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon Rekognition

В сервисах Amazon Rekognition выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon VPC

В Amazon VPC (в том числе – в сервисах интернет-шлюзов и виртуальных шлюзов) выполнены обновления для устранения проблем Log4j, описанных в CVE-2021-44228.

AWS AppSync

В AWS AppSync выполнены обновления для устранения проблем, описанных в CVE-2021-44228 и CVE-2021-45046.

AWS Certificate Manager

В сервисах AWS Certificate Manager выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

В сервисах ACM Private CA выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

AWS Service Catalog

В AWS Service Catalog выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

AWS Systems Manager

В сервисе AWS Systems Manager выполнены обновления для устранения проблем, описанных в CVE-2021-44228. Systems Manager Agent не подвергается воздействию указанной проблемы.

Компания AWS знает о недавно возникнувших проблемах в программе Apache Log4j2 с открытым исходным кодом (CVE-2021-44228 и CVE-2021-45046).

Реагирование на проблемы безопасности, подобные указанной выше, демонстрирует ценность наличия нескольких уровней защитных технологий, которые остаются незаменимыми для обеспечения безопасности данных и рабочих нагрузок наших клиентов. Мы весьма серьезно относимся к этой проблеме, и наша команда инженеров мирового класса круглосуточно работала над поиском решения и устранения уязвимости. Мы надеемся оперативно восстановить полную работоспособность наших защит.

Одной из технологий, которую мы тщательно разрабатывали и развертывали внутри AWS, является горячее исправление для приложений, которые могут работать на базе Log4j. Это горячее исправление обновляет виртуальную машину Java, отключая загрузку класса Java Naming and Directory Interface (JNDI) и заменяя его на безопасное оповещение, благодаря чему удается эффективно обойти ошибки CVE-2021-44228 и CVE-2021-45046.

Кроме того, мы предоставляем это решение в формате открытого кода, который доступен по следующей ссылке.

Даже после развертывания горячего исправления клиентам следует развернуть обновленную библиотеку Log4j с максимально доступной скоростью и безопасностью.

Для получения дополнительных сведений о шагах для определения и исправления проблем Log4j CVE с помощью сервисов AWS прочтите нашу свежую публикацию в блоге.

Дополнительная информация о конкретных сервисах предоставлена ниже. Если вам требуются более подробные сведения или помощь, обратитесь в службу поддержки AWS Support.

Amazon EKS, Amazon ECS и AWS Fargate

Для того чтобы контейнеры клиентов более не подвергались воздействию со стороны проблем с защищенностью, связанных с утилитой Apache Log4j2 с открытым исходным кодом (CVE-2021-44228 и CVE-2021-45046), Amazon EKS, Amazon ECS и AWS Fargate развертывают обновление на базе Linux (горячее исправление). Применение горячего исправления потребует согласия клиента, при этом в контейнерах клиентов будут отключены средства поиска JNDI из библиотеки Log4J2. Эти обновления доступны в виде пакета Amazon Linux для клиентов Amazon ECS, в виде DaemonSet для пользователей Kubernetes в AWS, а также будут поддерживаться в актуальных версиях платформы AWS Fargate.

Клиентам, использующим Java-приложения для контейнеров Windows, рекомендуется придерживаться инструкций Microsoft, изложенных здесь.

Amazon ECR Public и Amazon ECR

Принадлежащие Amazon образы, опубликованные проверенным аккаунтом Amazon ECR Public, не подвергаются проблемам, описанным в CVE-2021-4422. Для принадлежащих клиентам образов в Amazon ECR компания AWS предлагает использовать улучшенное сканирование и Amazon Inspector, предназначенные для непрерывного сканирования образов контейнеров в поисках известных проблем с безопасностью, включая образы контейнеров, которые содержат CVE-2021-44228. Все находки, обнаруженные с помощью Inspector и консолей ECR. Inspector включает 15-дневную пробную версию с бесплатной возможностью сканирования образа контейнера для аккаунтов, которые впервые используют Inspector. Клиенты, использующие в ECR Public образы, которые были предоставлены сторонними публикаторами, могут применять недавно введенную функцию извлечения из кеша ECR для копирования образов из ECR Public в реестр ECR клиента, а также прибегать к сканированию Inspector для обнаружения проблем с безопасностью.

Amazon Cognito

В сервисах Amazon Cognito выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon Pinpoint

В сервисах Amazon Pinpoint выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon EventBridge

В Amazon EventBridge выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Elastic Load Balancing

В сервисах Elastic Load Balancing выполнены обновления для устранения проблем, описанных в CVE-2021-44228. Все балансировщики нагрузки Elastic Load Balancer (а также балансировщики категорий Classic, Application, Network и Gateway) написаны не на языке Java и потому не подвергаются воздействию указанной проблемы.

AWS CodePipeline


В AWS CodePipeline выполнены обновления для устранения проблем, описанных в CVE-2021-44228 и CVE-2021-45046.

AWS CodeBuild

В AWS CodeBuild выполнены обновления для устранения проблем, описанных в CVE-2021-44228 и CVE-2021-45046.

Amazon Route53


В Route 53 выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon Linux


Amazon Linux 1 (AL1) и Amazon Linux 2 (AL2) по умолчанию используют версию log4j, на которую не влияют проблемы CVE-2021-44228 или CVE-2021-45046. Новая версия агента Amazon Kinesis, являющаяся частью AL2, устраняет проблемы CVE-2021-44228 и CVE-2021-45046. Кроме того, с целью помочь клиентам, которые используют свой собственный код log4j, силами Amazon Linux был выпущен новый пакет, который содержит горячее исправление для Apache log4j. Дополнительные сведения можно найти по ссылке.

Amazon SageMaker

Amazon SageMaker – исправление для проблемы Apache Log4j2 (CVE-2021-44228) завершено 15 декабря 2021 г.

Мы продолжаем рекомендовать нашим клиентам предпринять действия, необходимые для обновления всех своих приложений и сервисов, чтобы исправить известные проблемы, схожие с упоминаемой в этом документе. Клиенты, которым рекомендуется срочно предпринять действия для устранения проблемы, получат подробные инструкции с помощью PHD. Даже если на вас не влияет проблема Log4j, мы рекомендуем перезапустить свое задание или обновить приложение для использования актуальной версии ПО.

Amazon Athena

В Amazon Athena выполнены обновления для устранения проблем, описанных в CVE-2021-44228. Все версии драйвера JDBC для Amazon Athena, которые были поставлены клиентам, не подвергнуты воздействию указанной проблемы.

AWS Certificate Manager

В сервисах AWS Certificate Manager выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

В сервисах ACM Private CA выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon AppFlow

В Amazon AppFlow выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon Polly

В Amazon Polly выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon QuickSight

В Amazon QuickSight выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

AWS Textract

В сервисах AWS Textract выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon Corretto

Последняя версия Amazon Corretto, выпущенная 19 октября, не подвержена проблеме CVE-2021-44228, так как база раздачи Corretto не содержит Log4j. Мы рекомендуем клиентам обновить Log4j до актуальной версии для всех приложений, в которых используется эта библиотека, включая прямые зависимости, непрямые зависимости и затененные jar-архивы.
 

Компания AWS знает о недавно возникнувшей проблеме безопасности в программе Apache Log4j2 с открытым исходным кодом (CVE-2021-44228).

Реагирование на проблемы безопасности, подобные указанной выше, демонстрирует ценность наличия нескольких уровней защитных технологий, которые остаются незаменимыми для обеспечения безопасности данных и рабочих нагрузок наших клиентов. Мы весьма серьезно относимся к этой проблеме, и наша команда инженеров мирового класса круглосуточно работала над поиском решения и устранения уязвимости. Мы надеемся оперативно восстановить полную работоспособность наших защит.

Одной из тщательно разрабатываемых и развертываемых технологий является горячее исправление для приложений, которые могут работать на базе Log4j. Кроме того, мы предоставляем это решение в формате открытого кода, который доступен по следующей ссылке.

Даже после развертывания горячего исправления клиентам следует запланировать развертывание обновленной библиотеки Log4j с максимально доступной скоростью и безопасностью.

Дополнительная информация о конкретных сервисах предоставлена ниже. Если вам требуются более подробные сведения или помощь, обратитесь в службу поддержки AWS Support.

Amazon Kinesis

Новая версия агента Kinesis, исправляющая недавно обнаруженную проблему с библиотекой Apache Log4j2 (CVE-2021-44228), доступна здесь.

Amazon Inspector

Сервис Amazon Inspector получил исправление, нацеленное на устранение проблемы Log4j.

Сервис Inspector помогает обнаруживать проблемы CVE-2021-44228 (Log4Shell) внутри клиентских рабочих нагрузок EC2 и образов ECR. Средства обнаружения в данный момент недоступны для затронутых пакетов Linux уровня операционной системы. В перечень таких пакетов входят следующие компоненты: apache-log4j2 и liblog4j2-java для Debian; log4j, log4jmanual и log4j12 для SUSE; Elasticsearch для Alpine, Centos, Debian, Red Hat, SUSE и Ubuntu, а также другие аналогичные решения. Дополнительные обнаружения будут добавлены при выявлении дальнейших воздействий со стороны команд по вопросам безопасности соответствующих баз раздачи. Inspector декомпозирует архивы Java, хранящиеся в образах ECR, и публикует в результатах затронутые уязвимостью пакеты или приложения. Выявленные уязвимости будут указаны в консоли Inspector в категориях CVE-2021-44228 или IN1-JAVA-ORGAPACHELOGGINGLOG4J-2314720 – org.apache.logging.log4j:log4j-core.

Amazon Inspector Classic

Сервис Amazon Inspector получил исправление, нацеленное на устранение проблемы Log4j.

Сервис Inspector Classic помогает обнаруживать проблемы CVE-2021-44228 (Log4Shell) внутри клиентских рабочих нагрузок EC2. Средства обнаружения для CVE-2021-44228 (Log4Shell) в данный момент недоступны для затронутых пакетов Linux уровня операционной системы. В перечень таких пакетов входят следующие компоненты: apache-log4j2 и liblog4j2-java для Debian; log4j, log4jmanual и log4j12 для SUSE; Elasticsearch для Alpine, Centos, Debian, Red Hat, SUSE и Ubuntu, а также другие аналогичные решения.

Amazon WorkSpaces / AppStream 2.0

Amazon WorkSpaces и AppStream 2.0 с конфигурациями по умолчанию не затронуты проблемами CVE-2021-44228. Созданные с настройками по умолчанию образы Amazon Linux 2 для WorkSpaces и AppStream не содержат Log4j, а версии Log4j, доступные в репозиториях пакетов Amazon Linux 2 по умолчанию, не затронуты проблемой CVE-2021-44228. Впрочем, если вы развернули клиент WorkDocs Sync в Windows WorkSpaces, рекомендуем выполнить приведенные ниже действия.

Для Windows WorkSpaces по умолчанию не установлены компоненты WorkDocs Sync. Тем не менее, средствами WorkSpaces до июня 2021 г. на рабочем столе по умолчанию создавался ярлык для установщика клиента WorkDocs Sync. Клиент WorkDocs Sync версии 1.2.895.1 (и других версий) содержит компонент Log4j. Если вы развернули старые версии клиента WorkDocs Sync в WorkSpaces, перезапустите клиент Sync в WorkSpaces с помощью инструментов управления, таких как SCCM, или попросите своих пользователей WorkSpaces открывать клиент Sync вручную – предложите им выбирать Amazon WorkDocs из списка установленных программ. Во время первого запуска клиент Sync выполнит автоматическое обновление до актуальной версии 1.2.905.1, которая не подвергнута воздействию CVE-2021-44228. Приложения Workdocs Drive и Workdocs Companion не подвергнуты воздействию проблемы.

Amazon Timestream

В Amazon Timestream выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon DocumentDB

По состоянию на 13 декабря 2021 г. для Amazon DocumentDB было выпущено исправление, предназначенное для устранения проблемы Log4j, которая упоминается в CVE-2021-44228.

Amazon CloudWatch

В сервисах Amazon CloudWatch выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

AWS Secrets Manager

В AWS Secrets Manager выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon Single Sign-On

В сервисах Amazon Single Sign-On выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon RDS (Oracle)

В Amazon RDS Oracle выполнены обновления версии Log4j2, используемой в сервисе. Доступ к инстансам RDS будет ограничен вашими VPC и другими средствами контроля безопасности, такими как группы безопасности и сетевые списки контроля доступа (ACL). Мы настойчиво рекомендуем рассмотреть эти настройки и ввести в обиход необходимые средства управления доступа к инстансам RDS.

Согласно документу Oracle Support под номером 2827611.1, база данных Oracle не подвергнута воздействию указанной проблемы.

Amazon Cloud Directory

В Amazon Cloud Directory выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon Simple Queue Service (SQS)

13 декабря 2021 г. Amazon Simple Queue Service (SQS) завершила исправление проблемы Apache Log4j2 (CVE-2021-44228) для входящих и исходящих данных SQS. Мы также внесли правки в остальные системы SQS, использующие Log4j2.

AWS KMS

В AWS KMS выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon Redshift

Кластеры Amazon Redshift были автоматически обновлены для устранения воздействия проблем, обозначенных в CVE-2021-44228.

AWS Lambda

AWS Lambda не использует Log4j2 в управляемых средах выполнения или базовых образах контейнеров. Следовательно, не подвергается влиянию проблемы, описанной в CVE-2021-44228 и CVE-2021-45046.

Для тех случаев, в которых клиентская функция содержит в себе уязвимую версию Log4j2, мы применили правки к средам времени исполнения Lambda под управлением Java и к базовым образам контейнеров (Java 8, Java 8 на AL2 и Java 11), что помогло исправить проблемы CVE-2021-44228 и CVE-2021-45046. Клиенты, использующие управляемые среды времени исполнения, должны применить изменения вручную. Клиенты, использующие образы контейнеров, должны будут выполнить воссоздание на базе актуального базового образа контейнера и перейти к повторному развертыванию.

Мы рекомендуем всем клиентам, чьи функции содержат библиотеку Log4j2, обновиться до ее актуальной версии, даже если эти функции не подверглись воздействию уязвимости. В частности, клиентам, использующим в своих функциях библиотеку aws-lambda-java-log4j2, необходимо обновить ее до версии 1.4.0 и развернуть свои функции повторно. Эта версия обновляет скрытые зависимости утилит Log4j2 до версии 2.16.0. Обновленный двоичный файл aws-lambda-java-log4j2 доступен в репозитории Maven, а исходный код файла доступен на сайте Github.

Компания AWS знает о недавно возникнувшей проблеме безопасности в программе Apache Log4j2 с открытым исходным кодом (CVE-2021-44228).

Реагирование на проблемы безопасности, подобные указанной выше, демонстрирует ценность наличия нескольких уровней защитных технологий, которые остаются незаменимыми для обеспечения безопасности данных и рабочих нагрузок наших клиентов. Мы весьма серьезно относимся к этой проблеме, и наша команда инженеров мирового класса круглосуточно работала над поиском решения и устранения уязвимости. Мы надеемся оперативно восстановить полную работоспособность наших защит.

Мы продолжаем рекомендовать нашим клиентам предпринять действия, необходимые для обновления всех своих приложений и сервисов, чтобы исправить известные проблемы, схожие с упоминаемой в этом документе, а также соблюсти наши руководства по эффективной архитектуре.

Дополнительная информация о конкретных сервисах предоставлена ниже. Если вам требуются более подробные сведения или помощь, обратитесь в службу поддержки AWS Support.

Amazon API Gateway

По состоянию на 13 декабря 2021 г. для всех хостов Amazon API Gateway было выпущено исправление, предназначенное для устранения проблемы Log4j, которая упоминается в CVE-2021-44228.

Amazon CloudFront

В сервисах Amazon CloudFront выполнены обновления для устранения проблем, описанных в CVE-2021-44228. Сервисы обработки запросов CloudFront, запущенные на наших точках присутствия, написаны не на языке Java, и следовательно, проблема на них не влияет.

Amazon Connect

В сервисах Amazon Connect выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon DynamoDB

В Amazon DynamoDB и Amazon DynamoDB Accelerator (DAX) внесены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon EC2

CVE-2021-44228 не влияет на версии Log4j, доступные в репозиториях Amazon Linux 1 и Amazon Linux 2. Подробнее об обновлениях ПО, касающегося безопасности для Amazon Linux, см. в Центре безопасности Amazon Linux.

Amazon ElastiCache

Ядро Amazon ElastiCache Redis не использует Log4j2 в управляемых средах выполнения или базовых образах контейнеров. Amazon ElastiCache – исправление для проблемы Apache Log4j2 (CVE-2021-44228) завершено 12 декабря 2021 г.

Amazon EMR

CVE-2021-44228 влияет на обработку входящих данных из ненадежных источников в Apache Log4j версий 2.0-2.14.1. Эти версии Apache Log4j используются в кластерах EMR, которые были запущены в выпусках EMR 5 и EMR 6, включая платформы с открытым исходным кодом, например Apache Hive, Apache Flink, HUDI, Presto и Trino. Если запустить кластер с конфигурацией EMR по умолчанию, то он не обработает входящие данные из ненадежных источников.

В данный момент мы разрабатываем обновление, которое устранит описанную в CVE-2021-44228 проблему обработки информации из ненадежных источников на платформах с открытым исходным кодом, установленных в кластере EMR.

AWS IoT SiteWise Edge

Обновления для всех компонентов AWS IoT SiteWise Edge, которые используют Log4j, подготовлены к развертыванию 13.12.2021. В число этих компонентов входят OPC-UA Collector (v2.0.3), Data processing pack (v2.0.14) и Publisher (v2.0.2). AWS рекомендует клиентам, которые используют данные компоненты, развернуть их последние версии на периферийных шлюзах SiteWise Edge.

Amazon Keyspaces (для Apache Cassandra)

В Amazon Keyspaces (для Apache Cassandra) внесены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon Kinesis Data Analytics

Версии Apache Flink, поддерживаемые Amazon Kinesis Data Analytics, используют Apache Log4j версий 2.0-2.14.1. Приложения Kinesis Data Analytics работают в изолированных однопользовательских средах и не могут взаимодействовать друг с другом.

Мы обновляем версию Log4j, доступную для клиентских приложений Kinesis Data Analytics, во всех регионах AWS. Приложения, запущенные или обновленные 12 декабря 2021 года после 18:30 по тихоокеанскому времени, автоматически получат исправления. Пользователи, чьи приложения были запущены или обновлены до этой даты, могут проверить наличие обновленной версии Log4j, вызвав API UpdateApplication Kinesis Data Analytics. Более подробная информация об API UpdateApplication доступна в документации сервиса.

Amazon Kinesis Data Streams

Мы активно исправляем все подсистемы, использующие Log4j2, выпуская соответствующие обновления. Библиотеки Kinesis Client Library (KCL) версии 2.X и Kinesis Producer Library (KPL) не подвергнуты воздействию уязвимости. Для клиентов, использующих KCL 1.x, мы выпустили обновленную версию библиотеки. Кроме того, мы настойчиво рекомендуем всем клиентам обновить библиотеку KCL версии 1.x до KCL версии 1.14.5 (или более новой), которую вы можете найти здесь.

Amazon Managed Streaming for Apache Kafka (MSK)

Мы знаем о недавно возникнувшей проблеме (CVE-2021-44228), которая связана с библиотекой Apache Log4j2, и выполняем обновления по мере необходимости. Обратите внимание: сборки Apache Kafka и Apache Zookeeper, предлагаемые на текущий момент в MSK, используют Log4j 1.2.17, который проблема не затрагивает. Необходимые исправления вносятся в некоторые специфичные для MSK компоненты сервиса, использующие библиотеку Log4j 2.0.0.

Amazon Managed Workflows for Apache Airflow (MWAA)

В связи с недавно возникнувшей проблемой (CVE-2021-44228), которая связана с библиотекой Apache Log4j2, в MWAA необходимо проверить два аспекта: код сервиса Amazon MWAA (специфичный для AWS) и открытый исходный код (Apache Airflow).

По состоянию на 14 декабря 2021 г. выполнены все обновления кода сервиса MWAA, необходимые для устранения проблемы. Проблема не влияет на Apache Airflow, так как этот компонент не использует Log4j2.

Мы настойчиво рекомендуем всем клиентам, которые добавили Log4j2 в свои среды, обновиться до актуальной версии.

Amazon MemoryDB for Redis

Amazon MemoryDB for Redis – исправление для проблемы Apache Log4j2 (CVE-2021-44228) завершено 12 декабря 2021 г.

Amazon MQ

В связи с недавно возникнувшей проблемой (CVE-2021-44228) в библиотеке Apache Log4j2 Amazon MQ необходимо проверить два аспекта: код сервиса Amazon MQ (специфичный для AWS) и открытый исходный код (брокеры сообщений Apache ActiveMQ и RabbitMQ).

По состоянию на 13 декабря 2021 года выполнены все обновления кода сервиса Amazon MQ, необходимые для устранения проблемы.
Для брокеров сообщений с открытым исходным кодом обновления не требуются. Все версии Apache ActiveMQ, которые предлагает Amazon MQ, используют Log4j версии 1.2.x, которую проблема не затрагивает. Проблема не влияет на брокер RabbitMQ, так как он не использует Log4j.

Amazon Neptune

Все активные кластеры Amazon Neptune были автоматически обновлены для устранения воздействия проблем, обозначенных в CVE-2021-44228.

Amazon OpenSearch Service

Для Amazon OpenSearch Service было выпущено критическое обновление программного обеспечения (версия R20211203-P2), содержащее обновленную версию Log4j2 для всех регионов. Мы настойчиво рекомендуем клиентам обновить свои кластеры OpenSearch до этого выпуска как можно скорее.

Amazon RDS

Amazon RDS и Amazon Aurora занимаются решением проблем, связанных с использованием Log4j2, и применяют обновления. Реляционные базы данных на основе RDS не используют библиотеку Apache Log4j2. Если задействованы вышестоящие поставщики, то для уменьшения последствий мы применяем меры, которые рекомендуют они. Во время процесса обновления возможна нестабильная работа внутренних компонентов.

Amazon S3

11 декабря 2021 г. Amazon S3 завершила исправление проблемы Apache Log4j2 (CVE-2021-44228) для входящих и исходящих данных S3. Мы также внесли правки в остальные системы S3, использующие Log4j2.

Amazon Simple Notification Service (SNS)

Системы Amazon SNS, обслуживающие клиентский трафик, получили исправление для устранения проблемы Log4j2. В настоящий момент мы применяем исправление Log4j2 к подсистемам, которые работают отдельно от систем SNS, обслуживающих клиентский трафик.

Сервис Amazon Simple Workflow (SWF)

В сервисе Amazon Simple Workflow (SWF) выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

AWS CloudHSM

Ранние версии AWS CloudHSM JCE SDK (до 3.4.1) включают версию Apache Log4j, на которую влияет данная проблема. 10 декабря 2021 г. CloudHSM выпустила версию JCE SDK 3.4.1 с исправленной версией Apache Log4j. Указанная проблема может повлиять на ранние версии CloudHSM JCE (до 3.4.1). Чтобы это исправить, необходимо обновить CloudHSM JCE SDK до версии 3.4.1 или более новой.

AWS Elastic Beanstalk

На своих платформах Tomcat для Amazon Linux 1 и Amazon Linux 2 AWS Elastic Beanstalk устанавливает Log4j из пакетных репозиториев Amazon Linux по умолчанию. CVE-2021-44228 не влияет на версии Log4j, доступные в репозиториях Amazon Linux 1 и Amazon Linux 2.

Если вы меняли настройки использования Log4j в приложении, мы рекомендуем обновить код для устранения проблемы.

В соответствии с нашей практикой, при появлении исправленных версий пакетных репозиториев по умолчанию Elastic Beanstalk включит их в следующий выпуск платформы Tomcat для Amazon Linux 1 и Amazon Linux 2.

Подробнее об обновлениях ПО, касающегося безопасности для Amazon Linux, см. в Центре безопасности Amazon Linux.

AWS Glue

AWS Glue знает о недавно возникнувшей проблеме безопасности в программе Apache "Log4j2" с открытым исходным кодом (CVE-2021-44228). Мы обновили группу панелей управления, которая обслуживает API AWS Glue во всех поддерживаемых версиях Glue.

AWS Glue создает новую среду Spark, которая изолирована от всех остальных сред Spark в аккаунте сервиса на уровнях сети и управления. Задания ETL выполняются в среде одного пользователя. Если вы загрузили пользовательский файл jar, содержащий указанную версию Apache Log4j, для использования в своих ETL-заданиях или адресах разработки, мы рекомендуем обновить этот файл jar с применением последней версии Apache Log4j.

AWS Glue в настоящий момент обновляет среды Spark во всех поддерживаемых регионах. Если у вас есть вопросы или требуется дополнительная помощь, свяжитесь со службой поддержки AWS Support.

AWS Greengrass

С 10 декабря 2021 г. доступно развертывание обновлений для всех компонентов AWS Greengrass V2, использующих Log4j. Это компоненты Stream Manager (2.0.14) и Secure Tunneling (1.0.6). AWS рекомендует клиентам, которые используют данные компоненты Greengrass, установить на устройства последние версии.

Функция Stream Manager в Greengrass версий 1.10.x и 1.11.x использует Log4j. Обновление для функции Stream Manager входит в пакет исправлений для Greengrass (версии 1.10.5 и 1.11.5), доступный по состоянию на 12 декабря 2021 года. Мы настоятельно рекомендуем клиентам, пользующимся Stream Manager версий 1.10.x и 1.11.x или планирующим их использование, обновить устройства до последних версий.

AWS Lake Formation

Хосты сервиса AWS Lake Formation обновляют Log4j до последней версии, чтобы решить проблемы версий, указанных в CVE-2021-44228.

AWS Lambda

AWS Lambda не использует Log4j2 в управляемых средах выполнения или базовых образах контейнеров. Следовательно, не подвергается влиянию проблемы, описанной в CVE-2021-44228. Клиентам, использующим в своих функциях библиотеку aws-lambda-java-log4j2, необходимо обновить ее до версии 1.3.0 и развернуть повторно.

AWS SDK

AWS SDK для Java использует интерфейс ведения журнала, и его время исполнения не зависит от Log4j. В настоящий момент мы считаем, что AWS SDK для Java не требует обновлений в связи с этой проблемой.

AWS Step Functions

В AWS Step Functions выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

AWS Web Application Firewall (WAF)

Для повышения эффективности обнаружения и устранения уязвимостей, связанных с недавней проблемой безопасности Log4j, клиенты CloudFront, Application Load Balancer (ALB), API Gateway и AppSync могут на свое усмотрение включить AWS WAF и применить два правила AWS Managed Rules (AMR): AWSManagedRulesKnownBadInputsRuleSet и AWSManagedRulesAnonymousIpList.

Правило AWSManagedRulesKnownBadInputsRuleSet исследует uri-идентификатор, тело и часто используемые заголовки запроса, а AWSManagedRulesAnonymousIpList помогает блокировать запросы от сервисов, которые допускают обфускацию идентификации наблюдателя. Вы можете применить правила, создав веб-список ACL для AWS WAF и добавив к веб-списку ACL один или два набора правил, а затем связав веб-список ACL с API своей базы раздачи CloudFront, ALB, API Gateway или AppSync GraphQL.

Мы продолжаем вносить последовательные изменения в группу правил AWSManagedRulesKnownBadInputsRuleSet по мере обнаружения дополнительных проблем. Для получения автоматических обновлений AWSManagedRulesKnownBadInputsRuleSet выберите версию по умолчанию. Клиенты, использующие AWS WAF Classic, должны перейти на AWS WAF или создать пользовательские условия для подстановки в регулярные выражения. Клиенты могут использовать AWS Firewall Manager, который позволит вам настроить правила AWS WAF для нескольких аккаунтов и ресурсов AWS из единого интерфейса. Сервис позволяет группировать правила, создавать политики и обеспечивать их централизованное применение ко всей инфраструктуре.

NICE

Библиотека Apache Log4j используется в EnginFrame, начиная с версии 2020.0 и по версию 2021.0-r1307. В связи с ошибкой CVE NICE рекомендует выполнить обновление EnginFrame до последней версии или обновить библиотеку Log4j в системе EnginFrame, следуя инструкциям на веб-сайте службы поддержки.

При возникновении вопросов свяжитесь с нами.

Компания AWS знает о недавно возникнувшей проблеме безопасности в программе Apache Log4j2 с открытым исходным кодом (CVE-2021-44228). В данный момент мы следим за проблемой и работаем над ее решением во всех сервисах AWS, которые либо используют Log4j2, либо предоставляют его клиентам как часть сервиса.

Настоятельно рекомендуем клиентам, которые управляют средами с Log4j2, выполнить обновление до последней версии или воспользоваться механизмом обновления программного обеспечения в операционной системе. Дополнительная информация о конкретных сервисах приведена ниже.

Если вам требуются более подробные сведения или помощь, обратитесь в службу поддержки AWS.

S3

11 декабря 2021 года S3 завершила исправление проблемы Apache Log4j2 (CVE-2021-44228) для входящих и исходящих данных S3. Мы также внесли правки в остальные системы S3, использующие Log4j2.

Amazon OpenSearch

Amazon OpenSearch Service развертывает обновление программного обеспечения (версия R20211203-P2), в котором содержится обновленная версия Log4j2. Мы уведомим пользователей, как только оно станет доступно в соответствующих регионах, а также обновим данный бюллетень, когда он будет доступен по всему миру.

AWS Lambda

AWS Lambda не использует Log4j2 в управляемых средах выполнения или базовых образах контейнеров. Следовательно, не подвергается влиянию проблемы, описанной в CVE-2021-44228. Клиентам, использующим в своих функциях библиотеку aws-lambda-java-log4j2, необходимо обновить ее до версии 1.3.0 и развернуть повторно.

AWS CloudHSM

Ранние версии CloudHSM JCE SDK (до 3.4.1) включают версию Apache Log4j, на которую влияет данная проблема. 10 декабря 2021 года CloudHSM выпустила версию JCE SDK 3.4.1 с исправленной версией Apache Log4j. Указанная проблема может повлиять на ранние версии CloudHSM JCE (до 3.4.1). Чтобы это исправить, необходимо обновить CloudHSM JCE SDK до версии 3.4.1 или более новой.

Amazon EC2

CVE-2021-44228 не влияет на версии Log4j, доступные в репозиториях Amazon Linux 1 и Amazon Linux 2. Подробнее об обновлениях ПО, касающегося безопасности, для Amazon Linux см. в Центре безопасности Amazon Linux

API Gateway

Мы вносим обновления, которые позволят API Gateway использовать версию Log4j2, устраняющую проблему. Во время процесса обновления возможно увеличение задержки в некоторых API.

AWS Greengrass

С 12 декабря 2021 года доступно развертывание обновлений для всех компонентов Greengrass V2, использующих Log4j. Это компоненты Stream Manager (2.0.14) и Secure Tunneling (1.0.6). AWS рекомендует клиентам, которые используют данные компоненты Greengrass, установить на устройства последние версии.

Функция Stream Manager в Greengrass версий 1.10.x и 1.11.x использует Log4j. Обновление для функции Stream Manager входит в пакет исправлений для Greengrass (версии 1.10.5 и 1.11.5), доступный по состоянию на 12 декабря 2021 года. Мы настоятельно рекомендуем клиентам, пользующимся Stream Manager версий 1.10.x и 1.11.x или планирующим их использование, обновить устройства до последних версий.

CloudFront

В сервисах CloudFront выполнены обновления для устранения проблем, описанных в CVE-2021-44228. Службы обработки запросов CloudFront, запущенные на наших точках присутствия, написаны не на языке Java, и следовательно, проблема на них не влияет.

Elastic BeanStalk

На своих платформах Tomcat для Amazon Linux 1 и Amazon Linux 2 AWS Elastic Beanstalk устанавливает Log4j из пакетных репозиториев Amazon Linux по умолчанию. CVE-2021-44228 не влияет на версии Log4j, доступные в репозиториях Amazon Linux 1 и Amazon Linux 2.

Если вы меняли настройки использования Log4j в приложении, мы рекомендуем обновить код для устранения проблемы.

В соответствии с нашей практикой, при появлении исправленных версий пакетных репозиториев по умолчанию Elastic Beanstalk включит их в следующий выпуск платформы Tomcat для Amazon Linux 1 и Amazon Linux 2.

 Подробнее об обновлениях ПО, касающегося безопасности, для Amazon Linux см. в Центре безопасности Amazon Linux

EMR

CVE-2021-44228 влияет на обработку входящих данных из ненадежных источников в Apache Log4j версий 2.0-2.14.1. Эти версии Apache Log4j используются в кластерах EMR, которые были запущены в выпусках EMR 5 и EMR 6, включая платформы с открытым исходным кодом, например Apache Hive, Flink, HUDI, Presto и Trino. Если запустить кластер с конфигурацией EMR по умолчанию, то он не обработает входящие данные из ненадежных источников.

В данный момент мы разрабатываем обновление, которое устранит описанную в CVE-2021-44228 проблему обработки информации из ненадежных источников на платформах с открытым исходным кодом, установленных в кластере EMR.

Lake Formation

Хостинговые сервисы Lake Formation заранее обновляют Log4j до последней версии, чтобы решить проблемы безопасности версий, указанных в CVE-2021-44228.

AWS SDK

AWS SDK для Java использует интерфейс ведения журнала, и его время исполнения не зависит от log4j. В настоящий момент мы считаем, что AWS SDK для Java не требует обновлений в связи с этой проблемой.

AMS

В данный момент мы следим за проблемой и работаем над ее решением во всех сервисах AMS, которые используют Log4j2. Настоятельно рекомендуем клиентам, которые управляют средами с Log4j2, выполнить обновление до последней версии, или воспользоваться механизмом обновления программного обеспечения в операционной системе.

Amazon Neptune

Amazon Neptune использует библиотеку Apache Log4j2 в качестве периферийного компонента, но у пользователей Neptune ошибок не наблюдается. Из соображений безопасности кластеры Neptune автоматически обновляются и будут использовать версию Log4j2, в которой проблема устранена. Во время процесса обновления возможна нестабильная работа.

NICE

Библиотека Apache Log4j используется в EnginFrame, начиная с версии 2020.0 и по версию 2021.0-r1307. В связи с ошибкой CVE NICE рекомендует выполнить обновление EnginFrame до последней версии или обновить библиотеку Log4j в системе EnginFrame, следуя инструкциям на веб-сайте службы поддержки.

При возникновении вопросов свяжитесь с нами.

Kafka

Сервис Managed Streaming for Apache Kafka знает о недавно возникнувшей проблеме (CVE-2021-44228), которая связана с библиотекой Apache Log4j2, и выполняет обновления по мере необходимости. Обратите внимание, что сборки Apache Kafka и Apache Zookeeper, предлагаемые на текущий момент в MSK, используют log4j 1.2.17, который проблема не затрагивает. Необходимые исправления вносятся в некоторые специфичные для MSK компоненты сервиса, использующие библиотеку log4j 2.0.0.

AWS Glue

AWS Glue знает о недавно возникнувшей проблеме безопасности в программе Apache "Log4j2" с открытым исходным кодом (CVE-2021-44228). Мы обновили группу панелей управления, которая обслуживает API AWS Glue во всех поддерживаемых версиях Glue.

​AWS Glue создает новую среду Spark, которая изолирована от всех остальных сред Spark в аккаунте сервиса на уровнях сети и управления. Задания ETL выполняются в среде одного пользователя. Если задания ETL загружают определенную версию Apache Log4j, рекомендуем обновить сценарии, чтобы использовать последнюю версию. Если для разработки сценариев применяются адреса разработки AWS Glue, то версию Log4j также стоит обновить.

​AWS Glue в настоящий момент обновляет новую среду Spark во всех поддерживаемых регионах. Если у вас есть вопросы или требуется дополнительная помощь, свяжитесь с нами через службу поддержки AWS Support.

RDS

Amazon RDS и Amazon Aurora занимаются решением проблем, связанных с использованием Log4j2, и применяют обновления. Реляционные базы данных на основе RDS не используют библиотеку Apache Log4j. Если задействованы вышестоящие поставщики, то для уменьшения последствий мы применяем меры, которые рекомендуют они. Во время процесса обновления возможна нестабильная работа внутренних компонентов.

Amazon Connect

В сервисах Amazon Connect выполнены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon DynamoDB 

В Amazon DynamoDB и Amazon DynamoDB Accelerator (DAX) внесены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon Keyspaces (для Apache Cassandra)

В Amazon Keyspaces (для Apache Cassandra) внесены обновления для устранения проблем, описанных в CVE-2021-44228.

Amazon MQ

В связи с недавно возникнувшей проблемой (CVE-2021-44228) в библиотеке Apache Log4j2 Amazon MQ необходимо проверить два аспекта: код сервиса Amazon MQ (специфичный для AWS) и открытый исходный код (брокеры сообщений Apache ActiveMQ и RabbitMQ).

По состоянию на 13 декабря 2021 года выполнены все обновления кода сервиса Amazon MQ, необходимые для устранения проблемы.

Для брокеров сообщений с открытым исходным кодом обновления не требуются. Все версии Apache ActiveMQ, которые предлагает Amazon MQ, используют Log4j версии 1.2.x, которую проблема не затрагивает. Проблема не влияет на брокер RabbitMQ, так как он не использует Log4j.

Kinesis Data Analytics

Версии Apache Flink, поддерживаемые Kinesis Data Analytics, используют Apache Log4j версий 2.0-2.14.1. Приложения Kinesis Data Analytics работают в изолированных однопользовательских средах и не могут взаимодействовать друг с другом.

Мы обновляем версию Log4j, доступную для клиентских приложений Kinesis Data Analytics, во всех регионах AWS. Приложения, запущенные или обновленные 12 декабря 2021 года после 18:30 по тихоокеанскому времени, автоматически получат исправления. Пользователи, чьи приложения были запущены или обновлены до этой даты, могут проверить наличие обновленной версии Log4j, вызвав API UpdateApplication Kinesis Data Analytics. Подробнее об API UpdateApplication.

Компания AWS знает о недавно возникнувшей проблеме безопасности в программе Apache Log4j2 с открытым исходным кодом (CVE-2021-44228). В данный момент мы следим за проблемой и работаем над ее решением во всех сервисах AWS, которые либо используют Log4j2, либо предоставляют его клиентам как часть сервиса.

Настоятельно рекомендуем клиентам, которые управляют средами с Log4j2, выполнить обновление до последней версии или воспользоваться механизмом обновления программного обеспечения в операционной системе.

Сообщалось, что использование Log4j2 на версиях JDKS 8u121 или 8u191 и более поздних (включая JDK 11 и более поздние) помогает уменьшить влияние проблемы, но лишь частично. Единственное комплексное решение – это обновление Log4j2 до версии 2.15, а более ранние версии Log4j2 следует считать пострадавшими вне зависимости от того, какая база раздачи или версия JDK используется.

Дополнительная информация о конкретных сервисах приведена ниже.

Если вам требуются более подробные сведения или помощь, обратитесь в службу поддержки AWS.

API Gateway

Мы вносим обновления, которые позволят API Gateway использовать версию Log4j2, устраняющую проблему. Во время процесса обновления возможно увеличение задержки в некоторых API.

AWS Greengrass

С 12 декабря 2021 года доступно развертывание обновлений для всех компонентов Greengrass V2, использующих Apache Log4j2. Это компоненты Stream Manager (2.0.14) и Secure Tunneling (1.0.6). AWS рекомендует клиентам, которые используют данные компоненты Greengrass, установить на устройства последние версии.

Выход обновлений для Greengrass версий 1.10 и 1.11 запланирован на 17 декабря 2021 года. Клиентам, которые используют на устройствах Stream Manager, необходимо выполнить обновление, как только бинарные файлы Greengrass для этих версий станут доступны. В данный момент клиенты должны проверить, что пользовательский код lambda, который работает со Stream Manager на Greengrass 1.10 или 1.11, самостоятельно не применяет произвольные имена потоков и файлов (для экспортера S3). Например, имя потока или файла с текстом “${".

Amazon MQ

В связи с недавно возникнувшей проблемой (CVE-2021-44228) в библиотеке Apache Log4j2 Amazon MQ необходимо проверить 2 аспекта: код сервиса Amazon MQ (специфичный для AWS) и открытый исходный код (брокеры сообщений Apache ActiveMQ и RabbitMQ).

Мы выполняем обновления кода сервиса Amazon MQ, необходимые для устранения проблемы.

Для брокеров сообщений с открытым исходным кодом обновления не требуются. Все версии Apache ActiveMQ, которые предлагает Amazon MQ, используют Log4j версии 1.x, которую проблема не затрагивает. Проблема не влияет на брокер RabbitMQ, так как он не использует Log4j2.

CloudFront

В сервисах CloudFront выполнены обновления для устранения проблем, описанных в CVE-2021-44228. Службы обработки запросов CloudFront, запущенные на наших точках присутствия, написаны не на языке Java, а следовательно, проблема на них не влияет.

AWS Elastic Beanstalk

На своих платформах Tomcat для Amazon Linux 1 и Amazon Linux 2 AWS Elastic Beanstalk устанавливает Log4j из пакетных репозиториев Amazon Linux по умолчанию. CVE-2021-44228 не влияет на версии Log4j, доступные в репозиториях Amazon Linux 1 и Amazon Linux 2.

Если вы меняли настройки использования Log4j в приложении, мы рекомендуем обновить код для устранения проблемы.

В соответствии с нашей практикой, при появлении исправленных версий пакетных репозиториев по умолчанию Elastic Beanstalk включит их в следующий выпуск платформы Tomcat для Amazon Linux 1 и Amazon Linux 2.

Подробнее об обновлениях ПО, касающегося безопасности, для Amazon Linux см. в Центре безопасности Amazon Linux.

EMR

CVE-2021-44228 влияет на обработку входящих данных из ненадежных источников в Apache Log4j версий 2.0-2.14.1. Эти версии Apache Log4j используются в кластерах EMR, которые были запущены в выпусках EMR 5 и EMR 6, включая платформы с открытым исходным кодом, например Apache Hive, Flink, HUDI, Presto и Trino. Если запустить кластер с конфигурацией EMR по умолчанию, то он не обработает входящие данные из ненадежных источников.

В данный момент мы разрабатываем обновление, которое устранит описанную в CVE-2021-44228 проблему обработки информации из ненадежных источников на платформах с открытым исходным кодом, установленных в кластере EMR.

Lake Formation

Хосты сервиса Lake Formation заранее обновляют Log4j до последней версии, чтобы решить проблемы версий, указанных в CVE-2021-44228.

S3

Проблема Log4j2 с входящими и исходящими данными S3 исправлена. В настоящий момент мы применяем исправление Log4j2 к системам S3, которые работают отдельно от входящих и исходящих данных.

AWS SDK

AWS SDK для Java использует интерфейс ведения журнала, и его время исполнения не зависит от Log4j. В настоящий момент мы считаем, что AWS SDK для Java не требует обновлений в связи с этой проблемой.

AMS

В данный момент мы следим за проблемой и работаем над ее решением во всех сервисах AMS, которые используют Log4j2. Настоятельно рекомендуем клиентам, которые управляют средами с Log4j2, выполнить обновление до последней версии или воспользоваться механизмом обновления программного обеспечения в операционной системе.

AMS рекомендует развернуть брандмауэр Web Application Firewall (WAF) для всех адресов приложений, доступ к которым можно осуществить через Интернет. Обеспечить дополнительный уровень защиты можно с помощью сервиса AWS WAF, развернув наборы правил AWSManagedRulesAnonymousIpList (с правилами блокировки источников, которые используются для анонимизации данных о клиентах, например узлы TOR) и AWSManagedRulesKnownBadInputsRuleSet (который проверяет URI, тело запроса и часто используемые заголовки и помогает блокировать запросы, связанные с Log4j и другими проблемами).

AMS продолжит следить за проблемой и сообщать дополнительные сведения и рекомендации по мере их поступления.

Amazon Neptune

Amazon Neptune использует библиотеку Apache Log4j2 в качестве периферийного компонента, но у пользователей Neptune ошибок не наблюдается. Из соображений безопасности кластеры Neptune автоматически обновляются и будут использовать версию Log4j2, в которой проблема устранена. Во время процесса обновления возможна нестабильная работа.

NICE

Библиотека Apache Log4j используется в EnginFrame, начиная с версии 2020.0 и по версию 2021.0-r1307. В связи с ошибкой CVE NICE рекомендует выполнить обновление EnginFrame до последней версии или обновить библиотеку Log4j в системе EnginFrame, следуя инструкциям на веб-сайте службы поддержки.

При возникновении вопросов свяжитесь с нами.

Kafka

Сервис Managed Streaming for Apache Kafka знает о недавно возникнувшей проблеме (CVE-2021-44228), которая связана с библиотекой Apache Log4j2, и выполняет обновления по мере необходимости. Обратите внимание, что сборки Apache Kafka и Apache Zookeeper, предлагаемые на текущий момент в MSK, используют Log4j 1.2.17, который проблема не затрагивает. Необходимые исправления вносятся в некоторые специфичные для MSK компоненты сервиса, использующие библиотеку log4j 2.0.0.

AWS Glue

AWS Glue знает о недавно возникнувшей проблеме безопасности в программе Apache "Log4j2" с открытым исходным кодом (CVE-2021-44228). Мы обновили группу панелей управления, которая обслуживает API AWS Glue во всех поддерживаемых версиях Glue.

AWS Glue создает новую среду Spark, которая изолирована от всех остальных сред Spark в аккаунте сервиса на уровнях сети и управления. Задания ETL выполняются в среде одного пользователя. Если задания ETL загружают определенную версию Apache Log4j, рекомендуем обновить сценарии, чтобы использовать последнюю версию. Если для разработки сценариев применяются адреса разработки AWS Glue, то версию Log4j также стоит обновить.

AWS Glue в настоящий момент обновляет новую среду Spark во всех поддерживаемых регионах. Если у вас есть вопросы или требуется дополнительная помощь, свяжитесь с нами через службу поддержки AWS Support.

RDS

Amazon RDS и Amazon Aurora занимаются решением проблем, связанных с использованием Log4j2, и применяют обновления. Реляционные базы данных на основе RDS не используют библиотеку Apache Log4j. Если задействованы вышестоящие поставщики, то для уменьшения последствий мы применяем меры, которые рекомендуют они. Во время процесса обновления возможна нестабильная работа внутренних компонентов.

OpenSearch

Amazon OpenSearch Service развертывает обновление программного обеспечения (версия R20211203-P2), в котором содержится обновленная версия Log4j2. Мы уведомим пользователей, как только оно станет доступно в соответствующих регионах, а также обновим данный бюллетень, когда он будет доступен по всему миру.