初始發佈日期:2021/12/10 7:20 PM PDT
此問題的所有更新均已移至此處。
AWS 注意到了最近披露的開放原始碼 Apache “Log4j2" 公用程式 (CVE-2021-44228) 相關安全問題。我們正在積極監控此問題,並正在努力為任何使用 Log4j2 或將其作為客戶服務的一部分提供給客戶的 AWS 服務解決該問題。
極力建議管理包含 Log4j2 之環境的客戶更新至最新版本,可從以下位置取得:https://logging.apache.org/log4j/2.x/download.html,或其作業系統的軟體更新機制。其他服務特定資訊如下。
如果您需要其他詳細資訊或協助,請聯絡 AWS Support。
Amazon EC2
Amazon Linux 1 和 Amazon Linux 2 儲存庫中可用的 Log4j 版本不受 CVE-2021-44228 的影響。 有關 Amazon Linux 之安全相關軟體更新的更多資訊,請造訪 https://alas.aws.amazon.com。
AWS WAF / Shield
為了改進對最近 Log4j 安全問題引起之風險的偵測和緩解,我們更新了 AWS WAF 服務中的 AWSManagedRulesKnownBadInputsRuleSet AMR。CloudFront、Application Load Balancer (ALB)、API Gateway 和 AppSync 的客戶可以立即利用此緩解選項,透過建立 AWS WAF ACL,將 AWSManagedRulesKnownBadInputsRuleSet 新增至您的 Web ACL,然後將 Web ACL 與您的 CloudFront 分佈、ALB、API Gateway 或 AppSync GraphQL API 相關聯,來檢查 uri、要求主體和常用標頭以增強防禦。
如需 AWS WAF 入門的更多資訊,請造訪:https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html
此處提供啟用 AMR 的其他文件:https://docs.aws.amazon.com/waf/latest/developerguide/waf-using-managed-rule-groups.html
請注意,WAF Classic 中不提供 AMR,因此,請升級到 AWS WAF (wafv2) 以利用此緩解選項。
Amazon OpenSearch
我們正在更新所有 Amazon OpenSearch Service 網域,以使用解決該問題的 “Log4j2” 版本。在更新過程中,您可能會觀察到網域上的間歇性活動。
AWS Lambda
AWS Lambda 未在其受管執行時間或基礎容器映像中包含 Log4j2。因此,這些不會受 CVE-2021-44228 中所描述的問題影響。在其函數中使用 aws-lambda-java-log4j2 (https://repo1.maven.org/maven2/com/amazonaws/aws-lambda-java-log4j2/) 程式庫的客戶需要更新至版本 1.3.0 並重新部署。
AWS CloudHSM
3.4.1 之前的 CloudHSM JCE SDK 版本包含受此問題影響的 Apache Log4j 版本。2021 年 12 月 10 日,CloudHSM 發佈了具有 Apache Log4j 固定版本的 JCE SDK 3.4.1 版本。如果您使用早於 3.4.1 的 CloudHSM JCE 版本,則可能會受到影響,且應透過將 CloudHSM JCE SDK 升級到版本 3.4.1 或更高版本 [1] 來修復該問題。
[1] https://docs.aws.amazon.com/cloudhsm/latest/userguide/java-library-install.html