İlk Yayın Tarihi: 10.12.2021 19:20 PDT
Bu sorunla ilgili tüm güncellemeler buraya taşındı.
AWS, açık kaynak Apache "Log4j2" yardımcı yazılımıyla ilgili kısa bir süre önce açıklanan güvenlik sorunundan (CVE-2021-44228) haberdardır. Bu sorunu aktif bir şekilde izliyor ve Log4j2'yi kullanan ya da hizmetlerinin bir parçası olarak müşterilerine sağlayan AWS hizmetleri için gidermeye çalışıyoruz.
Log4j2 içeren ortamları yöneten müşterilerin en son sürüme güncellemesini şiddetle tavsiye ederiz. En son sürüme, https://logging.apache.org/log4j/2.x/download.html adresinden veya işletim sisteminin yazılım güncelleme mekanizmasından ulaşılabilir. Hizmetle ilgili diğer bilgiler aşağıda yer almaktadır.
İlave ayrıntılara veya yardıma ihtiyacınız olursa lütfen AWS Support ile iletişime geçin.
Amazon EC2
Amazon Linux 1 ve Amazon Linux 2 depolarında bulunan Log4j sürümleri, CVE-2021-44228 sorunundan etkilenmemiştir. Amazon Linux'a yönelik güvenlikle ilgili yazılım güncellemeleri hakkında daha fazla bilgiye https://alas.aws.amazon.com adresinden ulaşabilirsiniz.
AWS WAF/Shield
Son Log4j güvenlik sorunundan kaynaklanan risklerin tespit edilmesini ve azaltılmasını iyileştirmek için AWS WAF hizmetinde AWSManagedRulesKnownBadInputsRuleSet AMR'yi güncelledik. CloudFront, Application Load Balancer (ALB), API Gateway ve AppSync müşterileri, bu risk azaltma seçeneğinden hemen faydalanabilir. Bu seçenek AWS WAF web ACL'si oluşturarak, web ACL'nize AWSManagedRulesKnownBadInputsRuleSet ekleyerek ve sonrasında web ACL'nizi CloudFront dağıtımı, ALB, API Gateway veya AppSync GraphQL API'lerinizle ilişkilendirerek ilave bir savunma katmanı oluşturmak için URI, istek gövdesi ve yaygın kullanılan üst bilgileri inceler.
AWS WAF'yi kullanmaya başlama hakkında daha fazla bilgiye şu adresten ulaşabilirsiniz: https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html
AMR'lerin etkinleştirilmesiyle ilgili ilave belgelere şu adresten erişebilirsiniz: https://docs.aws.amazon.com/waf/latest/developerguide/waf-using-managed-rule-groups.html
AMR'lerin WAF Classic'te kullanılamadığını lütfen unutmayın. Bu risk azaltma seçeneğinden yararlanmak için lütfen AWS WAF'ye (wafv2) yükseltin.
Amazon OpenSearch
Tüm Amazon OpenSearch Service etki alanlarını, sorunu gideren "Log4j2" sürümünü kullanacak şekilde güncelliyoruz. Güncelleme işlemi sırasında etki alanlarınızda kesintilerle karşılaşabilirsiniz.
AWS Lambda
AWS Lambda, yönetilen çalışma zamanlarında veya temel container görüntülerinde Log4j2 içermez. Dolayısıyla bunlar, CVE-2021-44228'de açıklanan sorundan etkilenmez. İşlevlerinde aws-lambda-java-log4j2 (https://repo1.maven.org/maven2/com/amazonaws/aws-lambda-java-log4j2/) kitaplığını kullanan müşterilerin, 1.3.0 sürümüne güncellemesi ve yeniden dağıtım yapması gerekir.
AWS CloudHSM
3.4.1'den önceki CloudHSM JCE SDK sürümleri, bu sorundan etkilenen bir Apache Log4j sürümü içerir. 10 Aralık 2021'de CloudHSM, düzeltilmiş bir Apache Log4j sürümü içeren JCE SDK v3.4.1'i kullanıma sundu. 3.4.1'den önceki CloudHSM JCE sürümlerini kullanıyorsanız sorundan etkileniyor olabilirsiniz. CloudHSM JCE SDK'yi 3.4.1 veya üzeri bir sürüme yükselterek sorunu düzeltmeniz gerekir [1].
[1] https://docs.aws.amazon.com/cloudhsm/latest/userguide/java-library-install.html