AWS, açık kaynak Apache "Log4j2" yardımcı yazılımıyla ilgili kısa bir süre önce açıklanan sorunlardan (CVE-2021-44228 ve CVE-2021-45046) haberdardır.
Bu gibi güvenlik sorunlarını ele almak, müşterilerimizin verilerinin ve iş yüklerinin güvenliğini sağlamak için son derece önemli olan birden fazla savunma teknolojisi katmanına sahip olmanın değerini gösterir.
Bu sorunu son derece ciddiye aldık ve birinci sınıf mühendislerden oluşan ekibimiz, Amazon tarafından geliştirilen buradaki Java dinamik düzeltme ekini tüm AWS hizmetlerine tam olarak dağıttı. Dinamik düzeltme eki, Java Adlandırma ve Dizin Arabirimi (JNDI) sınıfının yüklenmesini devre dışı bırakmak için Java VM'yi günceller ve CVE-2021-44228 ve CVE-2021-45046 sorunlarının riskini azaltan zararsız bir bildirim mesajıyla değiştirir. Güncellenmiş Log4j kitaplığının tüm hizmetlerimize dağıtımını kısa bir süre içinde tamamlayacağız. Java dinamik düzeltme eki hakkında daha fazla bilgiyi https://aws.amazon.com/blogs/security/open-source-hotpatch-for-apache-log4j-vulnerability/ adresinde bulabilirsiniz.
Bu dinamik düzeltme eki dağıtılsa bile, müşterilerin bizim AWS'de yaptığımız gibi, güncellenmiş bir Log4j kitaplığını güvenli ve olabildiğince hızlı bir şekilde dağıtması gerekir.
AWS hizmetlerini kullanarak Log4j CVE sorunlarını tespit etme ve düzeltme hakkında daha fazla ayrıntı için lütfen buradaki en son blog gönderimizi okuyun.
Bu nihai bültenden sonra hizmete özel başka bir güncelleme gerekmez.
İlave ayrıntılara veya yardıma ihtiyacınız olursa lütfen AWS Support ile iletişime geçin.
Amazon Connect
Amazon Connect, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Müşterilerin, müşteri sorunlarının risklerini ayrıca/ek olarak azaltmasını gerektirebilecek Amazon Connect hizmet sınırının dışında kalan (iletişim akışlarından çağrılan Lambda işlevleri gibi) ortam bileşenlerini değerlendirmelerini öneririz.
Amazon Chime
Amazon Chime SDK hizmetleri, CVE-2021-44228 ve CVE-2021-45046'da belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon Chime hizmetleri, CVE-2021-44228 ve CVE-2021-45046'da belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon EMR
CVE-2021-44228, güvenilir olmayan kaynaklardan gelen girdileri işlerken 2.0 ve 2.14.1 arasındaki Apache Log4j sürümlerini etkiler. EMR 5 ve EMR 6 sürümleriyle kullanıma sunulan EMR kümeleri, bu Apache Log4j sürümlerini kullanan Apache Hive, Apache Flink, HUDI, Presto ve Trino gibi açık kaynak çerçeveleri içerir. EMR'nin varsayılan yapılandırmasıyla bir küme başlattığınızda, güvenilir olmayan kaynaklardan gelen girdileri işlemez. Birçok müşteri, güvenilmeyen kaynaklardan gelen girdileri işlemek ve günlüğe kaydetmek için EMR kümelerinde yüklü açık kaynak çerçevelerini kullanır. Dolayısıyla AWS, burada açıklanan çözümü uygulamanızı önerir.
Amazon Fraud Detector
Amazon Fraud Detector hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon Kendra
Amazon Kendra, CVE-2021-44228'in risklerini azaltmak için güncellenmiştir.
Amazon Lex
Amazon Lex, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon Lookout for Equipment
Amazon Lookout for Equipment, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon Macie
Amazon Macie hizmeti, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon Macie Classic
Amazon Macie Classic hizmeti, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon Monitron
Amazon Monitron, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon RDS
Amazon RDS ve Amazon Aurora, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon Rekognition
Amazon Rekognition hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon VPC
İnternet Ağ Geçidi ve Sanal Ağ Geçidi hizmetleri dahil olmak üzere Amazon VPC, CVE-2021-44228'de belirtilen Log4j sorununun risklerini azaltmak için güncellenmiştir.
AWS AppSync
AWS AppSync, CVE-2021-44228 ve CVE-2021-45046'da belirtilen sorunların risklerini azaltmak için güncellenmiştir.
AWS Certificate Manager
AWS Certificate Manager hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
ACM Private CA hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
AWS Service Catalog
AWS Service Catalog, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
AWS Systems Manager
AWS Systems Manager hizmeti, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir. Systems Manager Agent'ın kendisi bu sorundan etkilenmemiştir.
AWS, açık kaynak Apache "Log4j2" yardımcı yazılımıyla ilgili kısa bir süre önce açıklanan sorunlardan (CVE-2021-44228 ve CVE-2021-45046) haberdardır.
Bu gibi güvenlik sorunlarını ele almak, müşterilerimizin verilerinin ve iş yüklerinin güvenliğini sağlamak için son derece önemli olan birden fazla savunma teknolojisi katmanına sahip olmanın değerini gösterir. Bu sorunu son derece ciddiye alıyoruz ve birinci sınıf mühendislerden oluşan ekibimiz, müdahale ve düzeltme için gece gündüz çalışıyor. Derinlemesine tam savunma durumumuzu hızla eski haline getirmeyi umuyoruz.
AWS içinde geliştirdiğimiz ve yaygın olarak dağıttığımız teknolojilerden biri, Log4j'yi içerebilecek uygulamalar için bir dinamik düzeltme ekidir. Bu dinamik düzeltme eki, Java Adlandırma ve Dizin Arabirimi (JNDI) sınıfının yüklenmesini devre dışı bırakmak için Java VM'yi günceller ve CVE-2021-44228 ve CVE-2021-45046 sorunlarının riskini azaltmanın etkili bir yolu olan zararsız bir bildirim mesajıyla değiştirir.
Bunu, burada bulabileceğiniz açık kaynak bir çözüm olarak da sunduk.
Bu dinamik düzeltme eki dağıtılsa bile, müşterilerin güncellenmiş bir Log4j kitaplığını güvenli ve olabildiğince hızlı bir şekilde dağıtması gerekir.
AWS hizmetlerini kullanarak Log4j CVE sorunlarını tespit etme ve düzeltme hakkında daha fazla ayrıntı için lütfen buradaki en son blog gönderimizi okuyun.
Hizmetle ilgili diğer bilgiler aşağıda verilmiştir. İlave ayrıntılara veya yardıma ihtiyacınız olursa lütfen AWS Support ile iletişime geçin.
Amazon EKS, Amazon ECS ve AWS Fargate
Açık kaynak Apache "Log4j2" yardımcı yazılımı (CVE-2021-44228 ve CVE-2021-45046) güvenlik sorunlarının, müşterilerin container'ları üzerindeki etkisini azaltmaya yardımcı olmak için Amazon EKS, Amazon ECS ve AWS Fargate, Linux tabanlı bir güncelleme (dinamik düzeltme eki) dağıtıyor. Bu dinamik düzeltme eki, müşterinin kullanma onayını gerektirir ve müşterilerin container'larındaki Log4J2 kitaplığından JNDI aramalarını devre dışı bırakır. Bu güncellemeler, Amazon ECS müşterileri için bir Amazon Linux paketi, AWS'deki Kubernetes kullanıcıları için bir DaemonSet olarak sunulur ve AWS Fargate platform sürümlerinde desteklenir.
Windows container'larında Java tabanlı uygulamalar çalıştıran müşterilerin Microsoft'un burada bulabileceğiniz rehberliğini izlemesi tavsiye edilir.
Amazon ECR Public ve Amazon ECR
Amazon ECR Public'te Doğrulanmış Hesap altında yayınlanan Amazon'a ait görüntüler, CVE-2021-4422'de açıklanan sorundan etkilenmez. AWS, Amazon ECR'de müşterilere ait görüntüler için, CVE-2021-44228'i içerenler dahil olmak üzere container görüntülerini bilinen güvenlik sorunları için sürekli taramak üzere tasarlanmış Amazon Inspector ile Gelişmiş Tarama sunar. Bulgular, Inspector ve ECR konsollarında raporlanmıştır. Inspector, Inspector'da yeni olan hesaplar için ücretsiz container görüntüsü taramasıyla birlikte 15 günlük ücretsiz bir deneme sürümü içerir. ECR Public'teki görüntüleri üçüncü taraf yayıncılardan kullanan müşteriler bu görüntüleri ECR Public'ten ECR kayıtlarına kopyalamak için ECR'nin kısa bir süre önce sunulan Önbellek Depolarından Çekme özelliğini ve güvenlik sorunlarını tespit etmek için de Inspector taramasını kullanabilir.
Amazon Cognito
Amazon Cognito hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon Pinpoint
Amazon Pinpoint hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon EventBridge
Amazon EventBridge, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Elastic Load Balancing
Elastic Load Balancing hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir. Classic, Application, Network ve Gateway'in yanı sıra tüm Elastic Load Balancer'lar, Java ile yazılmamış ve dolayısıyla bu sorundan etkilenmemiştir.
AWS CodePipeline
AWS CodePipeline, CVE-2021-44228 ve CVE-2021-45046'da belirtilen sorunların risklerini azaltmak için güncellenmiştir.
AWS CodeBuild
AWS CodeBuild, CVE-2021-44228 ve CVE-2021-45046'da belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon Route53
Route 53, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon Linux
Amazon Linux 1 (AL1) ve Amazon Linux 2 (AL2) varsayılan olarak, CVE-2021-44228 veya CVE-2021-45046'dan etkilenmeyen bir Log4j sürümü kullanır. AL2'nin bir parçası olan Amazon Kinesis Agent'ın yeni bir sürümü, CVE-2021-44228 ve CVE-2021-45046'yı ele alır. Ek olarak, Amazon Linux, kendi Log4j kodunu getiren müşterilere yardımcı olmak amacıyla, Apache Log4j için dinamik düzeltme ekini içeren yeni bir paket sundu. Diğer ayrıntılara buradan ulaşabilirsiniz.
Amazon SageMaker
15 Aralık 2021'de Amazon SageMaker, Apache Log4j2 sorununa (CVE-2021-44228) yönelik düzeltme eki uygulama işlemini tamamladı.
Müşterilerimize bu gibi bilinen sorunlara düzeltme eki uygulayarak tüm uygulamalarını ve hizmetlerini güncellemek için harekete geçmelerini önermeye devam ediyoruz. Bu sorunla ilgili olarak harekete geçmesi önerilen müşterilere PHD aracılığıyla ayrıntılı talimatlar gönderilmiştir. Log4j sorunundan etkilenmiyor olsanız da yazılımımızın en son sürümünü kullanmak için işinizi yeniden başlatmanızı veya uygulamanızı güncellemenizi tavsiye ederiz.
Amazon Athena
Amazon Athena, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir. Müşterilere satılan Amazon Athena JDBC sürücüsünün hiçbir sürümü bu sorundan etkilenmemiştir.
AWS Certificate Manager
AWS Certificate Manager hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
ACM Private CA hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon AppFlow
Amazon AppFlow, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon Polly
Amazon Polly, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon QuickSight
Amazon QuickSight, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
AWS Textract
AWS Textract hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon Corretto
Corretto dağıtımı, Log4j'yi içermediğinden 19 Ekim'de kullanıma sunulan en son Amazon Corretto, CVE-2021-44228'den etkilenmez. Müşterilerin; doğrudan bağımlılıklar, dolaylı bağımlılıklar ve gölgeli kavanozlar dahil olmak üzere Log4j'yi kullanan tüm uygulamalarında Log4j'nin en son sürümüne güncelleme yapmalarını tavsiye ederiz.
AWS, açık kaynak Apache "Log4j2" yardımcı yazılımıyla ilgili kısa bir süre önce açıklanan güvenlik sorunundan (CVE-2021-44228) haberdardır.
Bu gibi güvenlik sorunlarını ele almak, müşterilerimizin verilerinin ve iş yüklerinin güvenliğini sağlamak için son derece önemli olan birden fazla savunma teknolojisi katmanına sahip olmanın değerini gösterir. Bu sorunu son derece ciddiye alıyoruz ve birinci sınıf mühendislerden oluşan ekibimiz, müdahale ve düzeltme için gece gündüz çalışıyor. Derinlemesine tam savunma durumumuzu hızla eski haline getirmeyi umuyoruz.
Geliştirdiğimiz ve dağıttığımız teknolojilerden biri, Log4j'yi içerebilecek uygulamalar için bir dinamik düzeltme ekidir. Bunu, burada bulabileceğiniz açık kaynak bir çözüm olarak da sunduk.
Bu dinamik düzeltme eki dağıtılsa bile, müşterilerin güncellenmiş bir Log4j kitaplığını güvenli ve olabildiğince hızlı bir şekilde dağıtmayı planlaması gerekir.
Hizmetle ilgili diğer bilgiler aşağıda verilmiştir. İlave ayrıntılara veya yardıma ihtiyacınız olursa lütfen AWS Support ile iletişime geçin.
Amazon Kinesis
Kinesis Agent'ın, kısa bir süre önce açıklanan Apache Log4j2 kitaplık sorununu (CVE-2021-44228) ele alan yeni bir sürümünü burada bulabilirsiniz.
Amazon Inspector
Amazon Inspector hizmetine Log4j sorununa karşı düzeltme eki uygulanmıştır.
Inspector hizmeti, müşteri EC2 iş yükleri ve ECR görüntülerindeki CVE-2021-44228 (Log4Shell) sorunlarını tespit etmeye yardımcı olur. Linux'ta etkilenen işletim sistemi düzeyindeki paketler için tespitleri şu anda kullanabilirsiniz. Bunlar arasında Debian için apache-log4j2 ve liblog4j2-java; SUSE için log4j, log4jmanual ve log4j12 ve lpine, Centos, Debian, Red Hat, SUSE ve Ubuntu için Elasticsearch yer alır. Ek tespitler, ilgili dağıtım güvenlik ekipleri tarafından daha fazla etki tanımlandıkça eklenecektir. Inspector, ECR görüntülerinde depolanan Java arşivlerini ayırır ve etkilenen paket veya uygulamalar için bulgular üretir. Bu bulgular, Inspector konsolunda "CVE-2021-44228" veya "IN1-JAVA-ORGAPACHELOGGINGLOG4J-2314720 - org.apache.logging.log4j:log4j-core" altında tanımlanacaktır.
Amazon Inspector Classic
Amazon Inspector hizmetine Log4j sorununa karşı düzeltme eki uygulanmıştır.
Inspector Classic hizmeti, müşteri EC2 iş yüklerindeki CVE-2021-44228 (Log4Shell) sorunlarını tespit etmeye yardımcı olur. Linux'ta etkilenen işletim sistemi düzeyindeki paketler için CVE-2021-44228 (Log4Shell) tespitlerini şu anda kullanabilirsiniz. Bunlar arasında Debian için apache-log4j2 ve liblog4j2-java; SUSE için log4j, log4jmanual ve log4j12 ve lpine, Centos, Debian, Red Hat, SUSE ve Ubuntu için Elasticsearch yer alır.
Amazon WorkSpaces/AppStream 2.0
Amazon WorkSpaces ve AppStream 2.0, varsayılan yapılandırmalarla CVE-2021-44228'den etkilenmez. WorkSpaces ve AppStream'in varsayılan Amazon Linux 2 görüntüleri, Log4j'yi içermez ve Amazon Linux 2 varsayılan paket depolarında bulunan Log4j sürümleri, CVE-2021-44228'den etkilenmez. Bununla birlikte, WorkDocs Sync istemcisini Windows WorkSpaces'a dağıttıysanız lütfen aşağıdaki önerilen eylemleri gerçekleştirin.
Windows WorkSpaces'ta WorkDocs Sync varsayılan olarak yüklü değildir. Bununla birlikte, Haziran 2021 öncesinde WorkSpaces'ta WorkDocs Sync istemci yükleyicisinin varsayılan bir masaüstü kısayolu yer alıyordu. WorkDocs Sync istemci sürümü 1.2.895.1 (ve daha eski sürümler) Log4j bileşenini içerir. Eski WorkDocs Sync istemcisini WorkSpaces'a dağıttıysanız lütfen WorkSpaces'taki Sync istemcisini SCCM gibi yönetim araçları aracılığıyla yeniden başlatın ya da WorkSpaces kullanıcılarınızın yüklü programlar listesinden "Amazon WorkDocs" Sync istemcisini manuel olarak açmasını isteyin. Başlatma sırasında Sync istemcisi otomatik olarak, CVE-2021-44228'den etkilenmeyen en son sürüm olan 1.2.905.1'e güncellenir. Workdocs Drive ve Workdocs Companion uygulamaları bu sorundan etkilenmez.
Amazon Timestream
Amazon Timestream, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon DocumentDB
13 Aralık 2021 itibarıyla, Amazon DocumentDB'ye CVE-2021-44228'de belirtilen Log4j sorununun risklerini azaltacak bir düzeltme eki uygulanmıştır.
Amazon CloudWatch
Amazon CloudWatch hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
AWS Secrets Manager
AWS Secrets Manager, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon Single Sign-On
Amazon Single Sign-On hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon RDS Oracle
Amazon RDS Oracle, hizmette kullanımda olan Log4j2 sürümünü güncelledi. RDS bulut sunucularına erişim, VPC'leriniz ve ayrıca güvenlik grupları ve ağ erişim denetimi listeleri (ACL'ler) gibi diğer güvenlik denetimleri tarafından kısıtlanmaya devam eder. RDS bulut sunucularınıza uygun erişim yönetimini sağlamak için bu ayarları gözden geçirmenizi önemle tavsiye ederiz.
Oracle Destek belgesi 2827611.1'e göre, Oracle veritabanının kendisi bu sorundan etkilenmemiştir.
Amazon Cloud Directory
Amazon Cloud Directory, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon Simple Queue Service (SQS)
Amazon Simple Queue Service (SQS), 13 Aralık 2021'de SQS'nin veri girişi ve çıkışı için Apache Log4j2 sorununa (CVE-2021-44228) yönelik düzeltme eki uygulama işlemini tamamladı. Log4j2 kullanan diğer tüm SQS sistemlerinde de düzeltme eki uygulama işlemini tamamladık.
AWS KMS
AWS KMS, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon Redshift
Amazon Redshift kümeleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için otomatik olarak güncellenmiştir.
AWS Lambda
AWS Lambda, yönetilen çalışma zamanlarında veya temel container görüntülerinde Log4j2 içermez. Dolayısıyla bunlar, CVE-2021-44228 ve CVE-2021-45046'da açıklanan sorundan etkilenmez.
Bir müşteri işlevinin etkilenen bir Log4j2 sürümünü içerdiği durumlarda, Lambda Java yönetilen çalışma zamanları ve temel container görüntüleri için (Java 8, AL2'de Java 8 ve Java 11) CVE-2021-44228 ve CVE-2021-45046'daki sorunların risklerini azaltmaya yardımcı olan bir değişiklik uyguladık. Yönetilen çalışma zamanlarını kullanan müşteriler için değişiklik otomatik olarak uygulanır. Container görüntülerini kullanan müşterilerin, en son temel container görüntüsünden yeniden oluşturmaları ve yeniden dağıtım yapması gerekir.
Bu değişiklikten bağımsız olarak, işlevleri Log4j2'yi içeren tüm müşterilerin en son sürüme güncellemelerini önemle tavsiye ederiz. Özellikle de, işlevlerinde aws-lambda-java-log4j2 kitaplığını kullanan müşteriler, sürüm 1.4.0'a güncelleme yapmalı ve işlevlerini yeniden dağıtmalıdır. Bu sürüm, temeldeki Log4j2 yardımcı yazılım bağımlılıklarını sürüm 2.16.0'a günceller. Güncellenmiş aws-lambda-java-log4j2 ikili dosyasını Maven deposunda ve kaynak kodunu Github'da bulabilirsiniz.
AWS, açık kaynak Apache "Log4j2" yardımcı yazılımıyla ilgili kısa bir süre önce açıklanan güvenlik sorunundan (CVE-2021-44228) haberdardır.
Bu gibi güvenlik sorunlarını ele almak, müşterilerimizin verilerinin ve iş yüklerinin güvenliğini sağlamak için son derece önemli olan birden fazla savunma teknolojisi katmanına sahip olmanın değerini gösterir. Bu sorunu son derece ciddiye alıyoruz ve birinci sınıf mühendislerden oluşan ekibimiz, müdahale ve düzeltme için gece gündüz çalışıyor. Derinlemesine tam savunma durumumuzu hızla eski haline getirmeyi umuyoruz.
Müşterilerimize bu gibi bilinen sorunlara düzeltme eki uygulayarak tüm uygulamalarını ve hizmetlerini güncellemek için harekete geçmelerini ve iyi yapılandırılmış rehberliğimize uymalarını önermeye devam ediyoruz.
Hizmetle ilgili diğer bilgiler aşağıda verilmiştir. İlave ayrıntılara veya yardıma ihtiyacınız olursa lütfen AWS Support ile iletişime geçin.
Amazon API Gateway
13 Aralık 2021 itibarıyla, tüm Amazon API Gateway ana sunucularına CVE-2021-44228'de belirtilen Log4j sorununun risklerini azaltacak bir düzeltme eki uygulanmıştır.
Amazon CloudFront
Amazon CloudFront hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir. POP'lerimizde çalışan CloudFront istek işleme hizmetleri, Java'da yazılmadığından söz konusu sorundan etkilenmemiştir.
Amazon Connect
Amazon Connect hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon DynamoDB
Amazon DynamoDB ve Amazon DynamoDB Accelerator (DAX), CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon EC2
Amazon Linux 1 ve Amazon Linux 2 depolarında bulunan Log4j sürümleri, CVE-2021-44228 sorunundan etkilenmemiştir. Amazon Linux'a yönelik güvenlikle ilgili yazılım güncellemeleri hakkında daha fazla bilgiye Amazon Linux Güvenlik Merkezi'nden ulaşabilirsiniz.
Amazon ElastiCache
Amazon ElastiCache'in Redis altyapısı, yönetilen çalışma zamanlarında veya temel container görüntülerinde Log4j2 içermez. 12 Aralık 2021'de Amazon ElastiCache, Apache Log4j2 sorununa (CVE-2021-44228) yönelik düzeltme eki uygulama işlemini tamamladı.
Amazon EMR
CVE-2021-44228, güvenilir olmayan kaynaklardan gelen girdileri işlerken 2.0 ve 2.14.1 arasındaki Apache Log4j sürümlerini etkiler. EMR 5 ve EMR 6 sürümleriyle kullanıma sunulan EMR kümeleri, bu Apache Log4j sürümlerini kullanan Apache Hive, Apache Flink, HUDI, Presto ve Trino gibi açık kaynak çerçeveleri içerir. EMR'nin varsayılan yapılandırmasıyla bir küme başlattığınızda, güvenilir olmayan kaynaklardan gelen girdileri işlemez.
EMR kümenizde yüklü açık kaynak çerçeveleri, güvenilir olmayan kaynaklardan gelen girdileri işlerken CVE-2021-44228'de açıklanan sorunun risklerini azaltan bir güncelleme oluşturmak için aktif bir şekilde çalışıyoruz.
AWS IoT SiteWise Edge
Log4j kullanan tüm AWS IoT SiteWise Edge bileşenleri için güncellemeler 13.12.2021 itibarıyla dağıtıma hazırdır. Bu bileşenler şunlardır: OPC-UA toplayıcısı (v2.0.3), Veri işleme paketi (v2.0.14) ve Yayıncı (v2.0.2). AWS, bu bileşenleri kullanan müşterilerin, SiteWise Edge ağ geçitlerine en son sürümleri dağıtmalarını önerir.
Amazon Keyspaces (for Apache Cassandra)
Amazon Keyspaces (for Apache Cassandra), CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon Kinesis Data Analytics
Amazon Kinesis Data Analytics tarafından desteklenen Apache Flink sürümlerine, 2.0 ve 2.14.1 arasındaki Apache Log4j sürümleri dahildir. Kinesis Data Analytics uygulamaları tek kiracılı, yalıtılmış ortamlarda çalışır ve birbirleriyle etkileşim kuramaz.
Tüm AWS bölgelerinde Kinesis Data Analytics müşteri uygulamalarının kullanabildiği Log4j sürümünü güncelliyoruz. 12.12.2021'de 18:30'dan (PST) sonra başlatılan veya güncellenen uygulamalar, güncellenmiş düzeltme ekini otomatik olarak alacaktır. Uygulamaları bu tarih ve saatten önce başlatılan veya güncellenen müşteriler, Kinesis Data Analytics UpdateApplication API'sini çağırarak uygulamalarının güncellenmiş Log4j sürümünde çalışmasını sağlayabilir. UpdateApplication API ile ilgili daha fazla bilgiyi hizmetin belgelerinde bulabilirsiniz.
Amazon Kinesis Data Streams
Log4j2 kullanan tüm alt sistemlerde güncellemeler yaparak aktif olarak düzeltme eki uyguluyoruz. Kinesis Client Library (KCL) sürüm 2.X ve Kinesis Producer Library (KPL) etkilenmemektedir. KCL 1.x'i kullanan müşteriler için güncellenmiş bir sürüm yayınladık ve tüm KCL sürüm 1.x müşterilerinin burada bulunan KCL sürüm 1.14.5'e (veya üzeri) yükseltmelerini önemle tavsiye ediyoruz.
Amazon Managed Streaming for Apache Kafka (MSK)
Apache Log4j2 kitaplığıyla ilgili kısa bir süre önce açıklanan sorundan (CVE-2021-44228) haberdarız ve gerekli güncellemeleri uyguluyoruz. MSK'de sunulan Apache Kafka ve Apache Zookeeper derlemelerinin, sorundan etkilenmeyen Log4j 1.2.17 sürümünü kullandığını belirtmek isteriz. MSK'ye özel bazı hizmet bileşenleri Log4j > 2.0.0 kitaplığını kullanır ve gerektiği yerlerde düzeltme ekleri uygulanmaktadır.
Amazon Managed Workflows for Apache Airflow (MWAA)
MWAA, Apache Log4j2 kitaplığıyla ilgili kısa bir süre önce açıklanan soruna (CVE-2021-44228) yönelik olarak dikkat edilmesi gereken iki alana sahiptir: Amazon MWAA hizmet kodu (AWS'ye özgü) ve açık kaynak kodu (Apache Airflow).
14 Aralık 2021 itibarıyla, sorunu gidermek için MWAA hizmetine gerekli tüm güncellemeleri uyguladık. Apache Airflow, Log4j2 kullanmaz ve bu sorundan etkilenmemiştir.
Log4j2'yi ortamlarına ekleyen müşterilerin en son sürüme güncellemelerini önemle tavsiye ederiz.
Amazon MemoryDB for Redis
Amazon MemoryDB for Redis, 12 Aralık 2021'de Apache Log4j2 sorununa (CVE-2021-44228) yönelik düzeltme eki uygulama işlemini tamamladı.
Amazon MQ
Amazon MQ, Apache Log4j2 kitaplığıyla ilgili kısa bir süre önce açıklanan soruna (CVE-2021-44228) yönelik olarak dikkat edilmesi gereken iki alana sahiptir: Amazon MQ hizmet kodu (AWS'ye özgü) ve açık kaynak kodu (Apache ActiveMQ ve RabbitMQ mesaj aracıları).
13 Aralık 2021 itibarıyla, sorunu gidermek için Amazon MQ hizmetine gerekli tüm güncellemeleri uyguladık.
Açık kaynak mesaj aracıları için gerekli bir güncelleme yoktur. Amazon MQ'da sunulan tüm Apache ActiveMQ sürümleri, bu sorundan etkilenmeyen Log4j 1.2.x sürümünü kullanır. RabbitMQ, Log4j kullanmaz ve bu sorundan etkilenmemiştir.
Amazon Neptune
Tüm aktif Amazon Neptune kümeleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için otomatik olarak güncellenmiştir.
Amazon OpenSearch Service
Amazon OpenSearch Service, Log4j2'nin güncellenmiş bir sürümünü içeren kritik bir hizmet yazılımı güncellemesi olan R20211203-P2'yi tüm bölgelerde yayınladı. Müşterilerin, OpenSearch kümelerini mümkün olan en kısa sürede bu sürüme güncellemelerini önemle tavsiye ediyoruz.
Amazon RDS
Amazon RDS ve Amazon Aurora, güncellemeler uygulayarak tüm Log4j2 hizmet kullanımını aktif olarak ele alıyor. RDS'de oluşturulan ilişkisel veritabanı altyapıları, Apache Log4j2 kitaplığını içermez. Yukarı akış sürecindeki satıcılar dahil olduğunda, önerdikleri risk azaltma seçeneğini uygularız. Müşteriler, dahili bileşenlerin güncellenmesi sırasında kesintilerle karşılaşabilir.
Amazon S3
11 Aralık 2021'de Amazon S3, S3'ün veri girişi ve çıkışı için Apache Log4j2 sorununa (CVE-2021-44228) yönelik düzeltme eki uygulama işlemini tamamladı. Log4j2 kullanan diğer tüm S3 sistemlerinde de düzeltme eki uygulama işlemini tamamladık.
Amazon Simple Notification Service (SNS)
Müşteri trafiği sunan Amazon SNS sistemlerine, Log4j2 sorununa karşı düzeltme eki uygulanmıştır. Müşteri trafiği sunan SNS sistemlerinden ayrı olarak çalışan alt sistemlere Log4j2 düzeltme ekini uygulamak için çalışıyoruz.
Amazon Simple Workflow Service (SWF)
Amazon Simple Workflow Service (SWF), CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
AWS CloudHSM
3.4.1'den önceki AWS CloudHSM JCE SDK sürümleri, bu sorundan etkilenen bir Apache Log4j sürümü içerir. 10 Aralık 2021'de CloudHSM, düzeltilmiş bir Apache Log4j sürümü içeren JCE SDK v3.4.1'i kullanıma sundu. 3.4.1'den önceki CloudHSM JCE sürümlerini kullanıyorsanız sorundan etkileniyor olabilirsiniz. CloudHSM JCE SDK'yi 3.4.1 veya üzeri bir sürüme yükselterek sorunun risklerini azaltmanız gerekir.
AWS Elastic Beanstalk
AWS Elastic Beanstalk, Amazon Linux 1 ve Amazon Linux 2 için Tomcat platformlarındaki Amazon Linux varsayılan paket depolarından Log4j yükler. Amazon Linux 1 ve Amazon Linux 2 depolarında bulunan Log4j sürümleri, CVE-2021-44228 sorunundan etkilenmemiştir.
Uygulamanızın Log4j kullanımında yapılandırma değişiklikleri yaptıysanız bu sorunun risklerini azaltmak için uygulamanızın kodunu güncellemenizi öneririz.
Olağan uygulamalarımıza göre, bu varsayılan paket deposu sürümlerinin düzeltme eki uygulanmış sürümleri kullanıma sunulursa Elastic Beanstalk; Amazon Linux 1 ve Amazon Linux 2 için yayınlanacak sonraki Tomcat platformu sürümüne, düzeltme eki uygulanmış sürümü dahil eder.
Amazon Linux'a yönelik güvenlikle ilgili yazılım güncellemeleri hakkında daha fazla bilgiye Amazon Linux Güvenlik Merkezi'nden ulaşabilirsiniz.
AWS Glue
AWS Glue, açık kaynak Apache "Log4j2" yardımcı yazılımıyla ilgili kısa bir süre önce açıklanan güvenlik sorunundan (CVE-2021-44228) haberdardır. Desteklenen tüm Glue sürümleri için AWS Glue API'leri sunan denetim düzlemi filolarımızı güncelledik.
AWS Glue, AWS Glue hizmet hesabındaki diğer tüm Spark ortamlarından ağ ve yönetim düzeyinde yalıtılmış yeni bir Spark ortamı oluşturur. ETL işleriniz, tek kiracılı bir ortamda yürütülür. ETL işlerinizde veya Geliştirme Uç Noktalarınızda kullanmak üzere, Apache Log4j'nin belirli bir sürümünü içeren özel bir Jar dosyası yüklediyseniz Jar dosyanızı Apache Log4j'nin en son sürümünü kullanacak şekilde güncellemenizi tavsiye ederiz.
AWS Glue, desteklenen tüm bölgelerde yeni Spark ortamlarına da proaktif olarak güncellemeler uygulamaktadır. Sorularınız veya daha fazla yardıma ihtiyacınız varsa lütfen AWS Support ile iletişime geçin.
AWS Greengrass
Log4j kullanan tüm AWS Greengrass V2 bileşenlerine yönelik güncellemeler, 10.12.2021 itibarıyla dağıtıma hazırdır. Bu bileşenler şunlardır: Stream Manager (2.0.14) ve Secure Tunneling (1.0.6). AWS, bu Greengrass bileşenlerini kullanan müşterilerin, cihazlarına en son sürümleri dağıtmalarını önerir.
Greengrass 1.10.x ve 1.11.x sürümlerinin Stream Manager özelliği, Log4j'yi kullanır. Stream Manager özelliği için güncelleme, 12.12.2021'de kullanıma sunulan Greengrass 1.10.5 ve 1.11.5 düzeltme eki sürümlerine dahil edilmiştir. Cihazlarında Stream Manager etkin (veya gelecekte etkinleştirebilecek) olan, 1.10.x ve 1.11.x sürümlerini kullanan müşterilerin, cihazlarını en son sürümlere güncellemelerini şiddetle öneririz.
AWS Lake Formation
AWS Lake Formation hizmeti ana sunucuları, CVE-2021-44228'de belirtilen sürümlerle ilgili sorunu gidermek için en son Log4j sürümüne güncelleniyor.
AWS Lambda
AWS Lambda, yönetilen çalışma zamanlarında veya temel container görüntülerinde Log4j2 içermez. Dolayısıyla bunlar, CVE-2021-44228'de açıklanan sorundan etkilenmez. İşlevlerinde aws-lambda-java-log4j2 kitaplığını kullanan müşterilerin, 1.3.0 sürümüne güncellemesi veya yeniden dağıtım yapması gerekir.
AWS SDK
AWS SDK for Java, bir günlük kaydı cephesi kullanmaktadır ve Log4j'de çalışma zamanı bağımlılığı yoktur. Şu anda bu sorun için herhangi bir AWS SDK for Java değişikliğinin yapılması gerektiğini düşünmüyoruz.
AWS Step Functions
AWS Step Functions, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
AWS Web Application Firewall (WAF)
CloudFront, Application Load Balancer (ALB), API Gateway ve AppSync müşterileri, son Log4j güvenlik sorunuyla ilgili tespit ve risk azaltmayı iyileştirmek için isteğe bağlı olarak AWS WAF'yi etkinleştirebilir ve iki AWS Yönetilen Kuralı (AMR) uygulayabilir: AWSManagedRulesKnownBadInputsRuleSet ve AWSManagedRulesAnonymousIpList.
AWSManagedRulesKnownBadInputsRuleSet; istek URI'sini, gövdeyi ve sık kullanılan üst bilgileri incelerken, AWSManagedRulesAnonymousIpList; görüntüleyici kimliğinin gizlenmesine izin veren hizmetlerden gelen istekleri engellemeye yardımcı olur. Bu kuralları, bir AWS WAF web ACL'si oluşturarak, web ACL'nize bir veya iki kural seti ekleyerek ve ardından web ACL'sini CloudFront dağıtımınız, ALB, API Gateway veya AppSync GraphQL API'lerinizle ilişkilendirerek uygulayabilirsiniz.
Daha fazla bilgi edindikçe AWSManagedRulesKnownBadInputsRuleSet Kural Grubu'nda değişiklikler yapmaya devam edeceğiz. AWSManagedRulesKnownBadInputsRuleSet için otomatik güncellemeleri almak istiyorsanız lütfen varsayılan sürümü seçin. AWS WAF Classic'i kullanan müşteriler için, AWS WAF'ye geçiş yapmanız veya özel normal ifade eşleştirme koşulları oluşturmanız gerekir. Müşteriler, AWS WAF kurallarını birden çok AWS hesabı ve kaynağında tek bir yerden yapılandırmaya olanak tanıyan AWS Firewall Manager'ı kullanabilir. Kuralları gruplandırabilir, politikalar oluşturabilir ve bu politikaları tüm altyapınızda merkezi olarak uygulayabilirsiniz.
NICE
NICE, 2020.0 ile 2021.0-r1307 arasındaki EnginFrame sürümlerinde yer alan Apache Log4j kitaplığındaki bir CVE nedeniyle, en son EnginFrame sürümüne yükseltmenizi veya destek sayfasındaki talimatları izleyerek EnginFrame kurulumunuzdaki Log4j kitaplığını güncellemenizi önerir.
Lütfen bize ulaşmaktan çekinmeyin.
AWS, açık kaynak Apache "Log4j2" yardımcı yazılımıyla ilgili kısa bir süre önce açıklanan güvenlik sorunundan (CVE-2021-44228) haberdardır. Bu sorunu aktif bir şekilde izliyor ve Log4j2'yi kullanan ya da hizmetlerinin bir parçası olarak müşterilerine sağlayan AWS hizmetleri için gidermeye çalışıyoruz.
Log4j2 içeren ortamları yöneten müşterilerin en son sürüme güncellemesini şiddetle öneririz. En son sürüme buradan veya işletim sisteminin yazılım güncelleme mekanizmasından ulaşılabilir. Hizmetle ilgili diğer bilgiler aşağıda yer almaktadır.
İlave ayrıntılara veya yardıma ihtiyacınız olursa lütfen AWS Support ile iletişime geçin.
S3
S3, 11 Aralık 2021'de S3'ün veri girişi ve çıkışı için Apache Log4j2 sorununa (CVE-2021-44228) yönelik düzeltme eki uygulama işlemini tamamladı. Log4j2 kullanan diğer tüm S3 sistemlerinde de düzeltme eki uygulama işlemini tamamladık.
Amazon OpenSearch
Amazon OpenSearch Service, Log4j2'nin güncellenmiş bir sürümünü içeren hizmet yazılımı güncellemesi R20211203-P2 sürümünü dağıtıyor. Güncellemenin sunulduğu bölgelerde bulunan müşterilerimizi bilgilendirecek ve dünya genelinde kullanıma sunulduğunda bu bülteni güncelleyeceğiz.
AWS Lambda
AWS Lambda, yönetilen çalışma zamanlarında veya temel container görüntülerinde Log4j2 içermez. Dolayısıyla bunlar, CVE-2021-44228'de açıklanan sorundan etkilenmez. İşlevlerinde aws-lambda-java-log4j2 kitaplığını kullanan müşterilerin, 1.3.0 sürümüne güncellemesi veya yeniden dağıtım yapması gerekir.
AWS CloudHSM
3.4.1'den önceki CloudHSM JCE SDK sürümleri, bu sorundan etkilenen bir Apache Log4j sürümü içerir. 10 Aralık 2021'de CloudHSM, düzeltilmiş bir Apache Log4j sürümü içeren JCE SDK v3.4.1'i kullanıma sundu. 3.4.1'den önceki CloudHSM JCE sürümlerini kullanıyorsanız sorundan etkileniyor olabilirsiniz. CloudHSM JCE SDK'yi 3.4.1 veya üzeri bir sürüme yükselterek sorunun risklerini azaltmanız gerekir.
Amazon EC2
Amazon Linux 1 ve Amazon Linux 2 depolarında bulunan Log4j sürümleri, CVE-2021-44228 sorunundan etkilenmemiştir. Amazon Linux'a yönelik güvenlikle ilgili yazılım güncellemeleri hakkında daha fazla bilgiye Amazon Linux Güvenlik Merkezi'nden ulaşabilirsiniz.
API Gateway
API Gateway'i, sorunun risklerini azaltan bir Log4j2 sürümü kullanacak şekilde güncelliyoruz. Bu güncellemeler sırasında bazı API'lerde gecikme sürelerinin belirli aralıklarla arttığını görebilirsiniz.
AWS Greengrass
Log4j kullanan tüm Greengrass V2 bileşenlerine yönelik güncellemeler, 10.12.2021 itibarıyla dağıtıma hazırdır. Bu bileşenler şunlardır: Stream Manager (2.0.14) ve Secure Tunneling (1.0.6). AWS, bu Greengrass bileşenlerini kullanan müşterilerin, cihazlarına en son sürümleri dağıtmalarını önerir.
Greengrass 1.10.x ve 1.11.x sürümlerinin Stream Manager özelliği, Log4j'yi kullanır. Stream Manager özelliği için güncelleme, 12.12.2021'de kullanıma sunulan Greengrass 1.10.5 ve 1.11.5 düzeltme eki sürümlerine dahil edilmiştir. Cihazlarında Stream Manager etkin (veya gelecekte etkinleştirebilecek) olan, 1.10.x ve 1.11.x sürümlerini kullanan müşterilerin, cihazlarını en son sürümlere güncellemelerini şiddetle öneririz.
CloudFront
CloudFront hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir. POP'lerimizde çalışan CloudFront istek işleme hizmetleri, Java'da yazılmadığından söz konusu sorundan etkilenmemiştir.
Elastic BeanStalk
AWS Elastic Beanstalk, Amazon Linux 1 ve Amazon Linux 2 için Tomcat platformlarındaki Amazon Linux varsayılan paket depolarından Log4j yükler. Amazon Linux 1 ve Amazon Linux 2 depolarında bulunan Log4j sürümleri, CVE-2021-44228 sorunundan etkilenmemiştir.
Uygulamanızın Log4j kullanımında yapılandırma değişiklikleri yaptıysanız bu sorunun risklerini azaltmak için uygulamanızın kodunu güncellemenizi öneririz.
Olağan uygulamalarımıza göre, bu varsayılan paket deposu sürümlerinin düzeltme eki uygulanmış sürümleri kullanıma sunulursa Elastic Beanstalk; Amazon Linux 1 ve Amazon Linux 2 için yayınlanacak sonraki Tomcat platformu sürümüne, düzeltme eki uygulanmış sürümü dahil eder.
Amazon Linux'a yönelik güvenlikle ilgili yazılım güncellemeleri hakkında daha fazla bilgiye Amazon Linux Güvenlik Merkezi'nden ulaşabilirsiniz.
EMR
CVE-2021-44228, güvenilir olmayan kaynaklardan gelen girdileri işlerken 2.0 ve 2.14.1 arasındaki Apache Log4j sürümlerini etkiler. EMR 5 ve EMR 6 sürümleriyle kullanıma sunulan EMR kümeleri, bu Apache Log4j sürümlerini kullanan Apache Hive, Flink, HUDI, Presto ve Trino gibi açık kaynak çerçeveleri içerir. EMR'nin varsayılan yapılandırmasıyla bir küme başlattığınızda, güvenilir olmayan kaynaklardan gelen girdileri işlemez.
EMR kümenizde yüklü açık kaynak çerçeveleri, güvenilir olmayan kaynaklardan gelen girdileri işlerken CVE-2021-44228'de açıklanan sorunun risklerini azaltan bir güncelleme oluşturmak için aktif bir şekilde çalışıyoruz.
Lake Formation
Lake Formation hizmeti ana sunucuları, CVE-2021-44228'de belirtilen sürümlerle ilgili güvenlik sorununu gidermek için proaktif olarak en son Log4j sürümüne güncelleniyor.
AWS SDK
AWS SDK for Java, bir günlük kaydı cephesi kullanmaktadır ve Log4j'de çalışma zamanı bağımlılığı yoktur. Şu anda bu sorun için herhangi bir AWS SDK for Java değişikliğinin yapılması gerektiğini düşünmüyoruz.
AMS
Bu sorunu aktif olarak izliyor ve Log4j2 kullanan AMS hizmetlerinde gidermek için çalışıyoruz. Log4j2 içeren ortamları yöneten müşterilerin en son sürüme güncellemesini şiddetle öneririz. En son sürüme buradan veya işletim sisteminin yazılım güncelleme mekanizması kullanılarak ulaşılabilir.
Amazon Neptune
Amazon Neptune, bir çevre birimi bileşeni olarak Apache Log4j2 kitaplığı içeriyor olsa da sorunun, Neptune kullanıcılarını etkilediğini düşünmüyoruz. Her ihtimale karşı Neptune kümeleri, Log4j2'nin sorunu gideren sürümünü kullanacak şekilde otomatik olarak güncellenecek. Müşteriler, güncelleme sırasında kesintilerle karşılaşabilir.
NICE
NICE, 2020.0 ile 2021.0-r1307 arasındaki EnginFrame sürümlerinde yer alan Apache Log4j kitaplığındaki bir CVE nedeniyle, en son EnginFrame sürümüne yükseltmenizi veya destek sayfasındaki talimatları izleyerek EnginFrame kurulumunuzdaki Log4j kitaplığını güncellemenizi önerir.
Lütfen bize ulaşmaktan çekinmeyin.
Kafka
Managed Streaming for Apache Kafka, Apache Log4j2 kitaplığıyla ilgili kısa bir süre önce açıklanan sorundan (CVE-2021-44228) haberdar ve gerekli güncellemeleri uyguluyor. MSK'de sunulan Apache Kafka ve Apache Zookeeper derlemelerinin, sorundan etkilenmeyen Log4j 1.2.17 sürümünü kullandığını belirtmek isteriz. MSK'ye özel bazı hizmet bileşenleri Log4j > 2.0.0 kitaplığını kullanır ve gerektiği yerlerde düzeltme ekleri uygulanmaktadır.
AWS Glue
AWS Glue, açık kaynak Apache "Log4j2" yardımcı yazılımıyla ilgili kısa bir süre önce açıklanan güvenlik sorunundan (CVE-2021-44228) haberdardır. Desteklenen tüm Glue sürümleri için AWS Glue API'leri sunan denetim düzlemi filolarımızı güncelledik.
AWS Glue, AWS Glue hizmet hesabındaki diğer tüm Spark ortamlarından ağ ve yönetim düzeyinde yalıtılmış yeni bir Spark ortamı oluşturur. ETL işleriniz, tek kiracılı bir ortamda yürütülür. ETL işleriniz, belirli bir Apache Log4j sürümü yüklerse betiklerinizi, en son Apache Log4j sürümünü kullanacak şekilde güncellemeniz önerilir. Betiklerinizi yazmak için AWS Glue geliştirme uç noktaları kullanıyorsanız burada kullandığınız Log4j sürümünü de güncellemeniz önerilir.
AWS Glue, desteklenen tüm bölgelerde yeni Spark ortamlarına da proaktif olarak güncellemeler uygulamaktadır. Sorularınız veya daha fazla yardıma ihtiyacınız varsa lütfen AWS Support aracılığıyla bize ulaşın.
RDS
Amazon RDS ve Amazon Aurora, güncellemeler uygulayarak tüm Log4j2 hizmet kullanımını aktif olarak ele alıyor. RDS'de oluşturulan ilişkisel veritabanı altyapıları, Apache Log4j kitaplığını içermez. Yukarı akış sürecindeki satıcılar dahil olduğunda, önerdikleri risk azaltma seçeneğini uygularız. Müşteriler, dahili bileşenlerin güncellenmesi sırasında kesintilerle karşılaşabilir.
Amazon Connect
Amazon Connect hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon DynamoDB
Amazon DynamoDB ve Amazon DynamoDB Accelerator (DAX), CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon Keyspaces (for Apache Cassandra)
Amazon Keyspaces (for Apache Cassandra), CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Amazon MQ
Amazon MQ, Apache Log4j2 kitaplığıyla ilgili kısa bir süre önce açıklanan soruna (CVE-2021-44228) yönelik olarak dikkat edilmesi gereken iki alana sahiptir: Amazon MQ hizmet kodu (AWS'ye özgü) ve açık kaynak kodu (Apache ActiveMQ ve RabbitMQ mesaj aracıları).
13 Aralık 2021 itibarıyla, sorunu gidermek için Amazon MQ hizmetine gerekli tüm güncellemeleri uyguladık.
Açık kaynak mesaj aracıları için gerekli bir güncelleme yoktur. Amazon MQ'da sunulan tüm Apache ActiveMQ sürümleri, bu sorundan etkilenmeyen Log4j 1.2.x sürümünü kullanır. RabbitMQ, Log4j kullanmaz ve bu sorundan etkilenmemiştir.
Kinesis Data Analytics
Kinesis Data Analytics tarafından desteklenen Apache Flink sürümlerine, 2.0 ve 2.14.1 arasındaki Apache Log4j sürümleri dahildir. Kinesis Data Analytics uygulamaları tek kiracılı, yalıtılmış ortamlarda çalışır ve birbirleriyle etkileşim kuramaz.
Tüm AWS bölgelerinde Kinesis Data Analytics müşteri uygulamalarının kullanabildiği Log4j sürümünü güncelliyoruz. 12.12.2021'de 18:30'dan (PST) sonra başlatılan veya güncellenen uygulamalar, güncellenmiş düzeltme ekini otomatik olarak alacaktır. Uygulamaları bu tarih ve saatten önce başlatılan veya güncellenen müşteriler, Kinesis Data Analytics UpdateApplication API'sini çağırarak uygulamalarının güncellenmiş Log4j sürümünde çalışmasını sağlayabilir. UpdateApplication API'si hakkında daha fazla bilgi edinebilirsiniz.
AWS, açık kaynak Apache "Log4j2" yardımcı yazılımıyla ilgili kısa bir süre önce açıklanan güvenlik sorunundan (CVE-2021-44228) haberdardır. Bu sorunu aktif bir şekilde izliyor ve Log4j2'yi kullanan ya da hizmetlerinin bir parçası olarak müşterilerine sağlayan AWS hizmetleri için gidermeye çalışıyoruz.
Log4j2 içeren ortamları yöneten müşterilerin en son sürüme güncellemesini şiddetle öneririz. En son sürüme buradan veya işletim sisteminin yazılım güncelleme mekanizmasından ulaşılabilir.
8u121 veya 8u191 üzeri JDK'lerde (JDK 11 ve üzeri dahil) Log4j2 kullanımının, sorunun risklerini azalttığı bildirilmiş olsa da bu, sorunun görülmeyeceği anlamına gelmez. Kapsamlı tek çözüm Log4j2'yi 2.15 sürümüne yükseltmek ve 2.15'ten önceki Log4j2 sürümlerinin, kullanılan JDK dağıtımından veya sürümünden bağımsız olarak etkilenmiş olduğunu varsaymaktır.
Hizmetle ilgili diğer bilgiler aşağıda yer almaktadır.
İlave ayrıntılara veya yardıma ihtiyacınız olursa lütfen AWS Support ile iletişime geçin.
API Gateway
API Gateway'i, sorunun risklerini azaltan bir Log4j2 sürümü kullanacak şekilde güncelliyoruz. Bu güncellemeler sırasında bazı API'lerde gecikme sürelerinin belirli aralıklarla arttığını görebilirsiniz.
AWS Greengrass
Apache Log4j2 kullanan tüm Greengrass V2 bileşenlerine yönelik güncellemeler, 10.12.2021 itibarıyla dağıtıma hazırdır. Bu bileşenler şunlardır: Stream Manager (2.0.14) ve Secure Tunneling (1.0.6). AWS, bu Greengrass bileşenlerini kullanan müşterilerin, cihazlarına en son sürümleri dağıtmalarını önerir.
Greengrass 1.10 ve 1.11 sürümlerine yönelik güncellemelerin 17.12.2021'de kullanıma sunulması beklenmektedir. Bu cihazlarda Stream Manager kullanan müşterilerin, bu sürümler için Greengrass ikili dosyaları sunulur sunulmaz cihazlarını güncellemeleri önerilir. O zamana kadar müşteriler, Greengrass 1.10 veya 1.11 sürümünde Stream Manager kullanan özel Lambda kodlarının, kontrolleri dışında (S3 dışarı aktarıcı için) rastgele akış adları veya dosya adları (ör. "${" metnini içeren bir akış adı veya dosya adı) kullanmadığını doğrulamalıdır.
Amazon MQ
Amazon MQ, Apache Log4j2 kitaplığıyla ilgili kısa bir süre önce açıklanan soruna (CVE-2) yönelik olarak dikkat edilmesi gereken 2 alana sahiptir: Amazon MQ hizmet kodu (AWS'ye özgü) ve açık kaynak kodu (Apache ActiveMQ ve RabbitMQ mesaj aracıları).
Sorunu gidermek için Amazon MQ hizmet koduna gerekli güncellemeleri uyguluyoruz.
Açık kaynak mesaj aracıları için gerekli bir güncelleme yoktur. Amazon MQ'da sunulan tüm Apache ActiveMQ sürümleri, bu sorundan etkilenmeyen Log4j 1.x sürümünü kullanır. RabbitMQ, Log4j2 kullanmaz ve bu sorundan etkilenmemiştir.
CloudFront
CloudFront hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir. POP'lerimizde çalışan CloudFront istek işleme hizmetleri, Java'da yazılmadığından söz konusu sorundan etkilenmemiştir.
AWS Elastic Beanstalk
AWS Elastic Beanstalk, Amazon Linux 1 ve Amazon Linux 2 için Tomcat platformlarındaki Amazon Linux varsayılan paket depolarından Log4j yükler. Amazon Linux 1 ve Amazon Linux 2 depolarında bulunan Log4j sürümleri, CVE-2021-44228 sorunundan etkilenmemiştir.
Uygulamanızın Log4j kullanımında yapılandırma değişiklikleri yaptıysanız bu sorunun risklerini azaltmak için uygulamanızın kodunu güncellemenizi öneririz.
Olağan uygulamalarımıza göre, bu varsayılan paket deposu sürümlerinin düzeltme eki uygulanmış sürümleri kullanıma sunulursa Elastic Beanstalk; Amazon Linux 1 ve Amazon Linux 2 için yayınlanacak sonraki Tomcat platformu sürümüne, düzeltme eki uygulanmış sürümü dahil eder.
Amazon Linux'a yönelik güvenlikle ilgili yazılım güncellemeleri hakkında daha fazla bilgiye Amazon Linux Güvenlik Merkezi'nden ulaşabilirsiniz.
EMR
CVE-2021-44228, güvenilir olmayan kaynaklardan gelen girdileri işlerken 2.0 ve 2.14.1 arasındaki Apache Log4j sürümlerini etkiler. EMR 5 ve EMR 6 sürümleriyle kullanıma sunulan EMR kümeleri, bu Apache Log4j sürümlerini kullanan Apache Hive, Flink, HUDI, Presto ve Trino gibi açık kaynak çerçeveleri içerir. EMR'nin varsayılan yapılandırmasıyla bir küme başlattığınızda, güvenilir olmayan kaynaklardan gelen girdileri işlemez.
EMR kümenizde yüklü açık kaynak çerçeveleri, güvenilir olmayan kaynaklardan gelen girdileri işlerken CVE-2021-44228'de açıklanan sorunun risklerini azaltan bir güncelleme oluşturmak için aktif bir şekilde çalışıyoruz.
Lake Formation
Lake Formation hizmeti ana sunucuları, CVE-2021-44228'de belirtilen sürümlerle ilgili sorunu gidermek için proaktif olarak en son Log4j sürümüne güncelleniyor.
S3
S3'ün veri girişi ve çıkışı için Log4j2 sorununa karşı düzeltme eki uygulanmıştır. S3'ün veri girişinden ve çıkışından ayrı olarak çalışan S3 sistemlerine, Log4j2 düzeltme eki uygulamak için çalışıyoruz.
AWS SDK
AWS SDK for Java, bir günlük kaydı cephesi kullanmaktadır ve Log4j'de çalışma zamanı bağımlılığı yoktur. Şu anda bu sorun için herhangi bir AWS SDK for Java değişikliğinin yapılması gerektiğini düşünmüyoruz.
AMS
Bu sorunu aktif olarak izliyor ve Log4j2 kullanan AMS hizmetlerinde gidermek için çalışıyoruz. Log4j2 içeren ortamları yöneten müşterilerin en son sürüme güncellemesini şiddetle öneririz. En son sürüme buradan veya işletim sisteminin yazılım güncelleme mekanizması kullanılarak ulaşılabilir.
AMS, internet erişimi olan tüm uygulama uç noktaları için bir Web Uygulaması Güvenlik Duvarı (WAF) dağıtılmasını önerir. AWS WAF hizmeti, AWSManagedRulesAnonymousIpList kural kümesini (TOR düğümleri gibi, istemci bilgilerini anonimleştirdiği bilinen kaynakları engelleyecek kurallar içerir) ve AWSManagedRulesKnownBadInputsRuleSet kural kümesini (Log4j ve diğer sorunlarla ilgili istekleri engellemeye yardımcı olmak için URI, istek gövdesi ve yaygın kullanılan üst bilgileri inceler) dağıtarak bu soruna karşı ilave bir savunma katmanı sağlayacak şekilde yapılandırılabilir.
AMS, bu sorunu izlemeye devam edecek ve mevcut olduğunda ilave ayrıntılar ve öneriler sağlayacaktır.
Amazon Neptune
Amazon Neptune, bir çevre birimi bileşeni olarak Apache Log4j2 kitaplığı içeriyor olsa da sorunun, Neptune kullanıcılarını etkilediğini düşünmüyoruz. Her ihtimale karşı Neptune kümeleri, Log4j2'nin sorunu gideren sürümünü kullanacak şekilde otomatik olarak güncellenecek. Müşteriler, güncelleme sırasında kesintilerle karşılaşabilir.
NICE
NICE, 2020.0 ile 2021.0-r1307 arasındaki EnginFrame sürümlerinde yer alan Apache Log4j kitaplığındaki bir CVE nedeniyle, en son EnginFrame sürümüne yükseltmenizi veya destek sayfasındaki talimatları izleyerek EnginFrame kurulumunuzdaki Log4j kitaplığını güncellemenizi önerir.
Lütfen bize ulaşmaktan çekinmeyin.
Kafka
Managed Streaming for Apache Kafka, Apache Log4j2 kitaplığıyla ilgili kısa bir süre önce açıklanan sorundan (CVE-2021-44228) haberdar ve gerekli güncellemeleri uyguluyor. MSK'de sunulan Apache Kafka ve Apache Zookeeper derlemelerinin, sorundan etkilenmeyen Log4j 1.2.17 sürümünü kullandığını belirtmek isteriz. MSK'ye özel bazı hizmet bileşenleri Log4j > 2.0.0 kitaplığını kullanır ve gerektiği yerlerde düzeltme ekleri uygulanmaktadır.
AWS Glue
AWS Glue, açık kaynak Apache "Log4j2" yardımcı yazılımıyla ilgili kısa bir süre önce açıklanan güvenlik sorunundan (CVE-2021-44228) haberdardır. Desteklenen tüm Glue sürümleri için AWS Glue API'leri sunan denetim düzlemi filolarımızı güncelledik.
AWS Glue, AWS Glue hizmet hesabındaki diğer tüm Spark ortamlarından ağ ve yönetim düzeyinde yalıtılmış yeni bir Spark ortamı oluşturur. ETL işleriniz, tek kiracılı bir ortamda yürütülür. ETL işleriniz, belirli bir Apache Log4j sürümü yüklerse betiklerinizi, en son Apache Log4j sürümünü kullanacak şekilde güncellemeniz önerilir. Betiklerinizi yazmak için AWS Glue geliştirme uç noktaları kullanıyorsanız burada kullandığınız Log4j sürümünü de güncellemeniz önerilir.
AWS Glue, desteklenen tüm bölgelerde yeni Spark ortamlarına da proaktif olarak güncellemeler uygulamaktadır. Sorularınız veya daha fazla yardıma ihtiyacınız varsa lütfen AWS Support aracılığıyla bize ulaşın.
RDS
Amazon RDS ve Amazon Aurora, güncellemeler uygulayarak tüm Log4j2 hizmet kullanımını aktif olarak ele alıyor. RDS'de oluşturulan ilişkisel veritabanı altyapıları, Apache Log4j kitaplığını içermez. Yukarı akış sürecindeki satıcılar dahil olduğunda, önerdikleri risk azaltma seçeneğini uygularız. Müşteriler, dahili bileşenlerin güncellenmesi sırasında kesintilerle karşılaşabilir.
OpenSearch
Amazon OpenSearch Service, Log4j2'nin güncellenmiş bir sürümünü içeren hizmet yazılımı güncellemesi R20211203-P2 sürümünü dağıtıyor. Güncellemenin sunulduğu bölgelerde bulunan müşterilerimizi bilgilendirecek ve dünya genelinde kullanıma sunulduğunda bu bülteni güncelleyeceğiz.