Ngày phát hành lần đầu: 10/12/2021 7:20 tối theo giờ PDT
Tất cả thông tin cập nhật cho sự cố này đã được chuyển vào đây.
AWS đã lưu ý đến sự cố bảo mật phát hiện thấy gần đây liên quan đến tiện ích Apache “Log4j2" nguồn mở (CVE-2021-44228). Chúng tôi đang tích cực giám sát và nỗ lực giải quyết sự cố này cho mọi dịch vụ AWS dùng Log4j2 hoặc cung cấp ứng dụng này cho khách hàng dưới dạng một phần dịch vụ.
Chúng tôi đặc biệt khuyến khích những khách hàng quản lý môi trường chứa Log4j2 cập nhật lên phiên bản mới nhất, có tại: https://logging.apache.org/log4j/2.x/download.html hoặc cơ chế cập nhật phần mềm của hệ điều hành. Thông tin bổ sung cho dịch vụ cụ thể có ở dưới đây.
Nếu bạn cần thêm thông tin chi tiết hoặc hỗ trợ, vui lòng liên hệ với AWS Support.
Amazon EC2
Các phiên bản Log4j có trong kho lưu trữ Amazon Linux 1 và Amazon Linux 2 không bị ảnh hưởng bởi CVE-2021-44228. Thêm thông tin về các bản cập nhật phần mềm liên quan đến bảo mật dành cho Amazon Linux có trong: https://alas.aws.amazon.com.
AWS WAF / Shield
Để cải thiện khả năng phát hiện và giảm thiểu rủi ro phát sinh từ sự cố bảo mật Log4j gần đây, chúng tôi đã cập nhật AWSManagedRulesKnownBadInputsRuleSet AMR trong dịch vụ AWS WAF. Khách hàng của CloudFront, Application Load Balancer (ALB), API Gateway và AppSync ngay lập tức có thể tận dụng tùy chọn giảm thiểu này, tùy chọn này sẽ kiểm tra uri, nội dung yêu cầu và các tiêu đề thường dùng để thêm một lớp bảo vệ bổ sung, bằng cách tạo ACL web AWS WAF, thêm AWSManagedRulesKnownBadInputsRuleSet vào ACL web của bạn, sau đó liên kết ACL web với bản phân phối CloudFront, ALB, API Gateway hoặc API AppSync GraphQL của bạn.
Thêm thông tin về bắt đầu với AWS WAF có tại đây: https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html
Tài liệu bổ sung về cách kích hoạt AMR có tại đây: https://docs.aws.amazon.com/waf/latest/developerguide/waf-using-managed-rule-groups.html
Xin lưu ý rằng AMR không có trong WAF Classic, vì vậy vui lòng nâng cấp lên AWS WAF (wafv2) để tận dụng tùy chọn giảm thiểu này.
Amazon OpenSearch
Chúng tôi đang cập nhật tất cả các miền của Amazon OpenSearch Service để sử dụng một phiên bản của “Log4j2” giúp giải quyết sự cố. Bạn có thể thấy hoạt động trên các miền của bạn bị gián đoạn trong quá trình cập nhật.
AWS Lambda
AWS Lambda không bao gồm Log4j2 trong thời gian chạy được quản lý hoặc hình ảnh bộ chứa cơ sở. Do đó, những dịch vụ này không bị ảnh hưởng bởi sự cố mô tả trong CVE-2021-44228. Khách hàng đang dùng thư viện aws-lambda-java-log4j2 (https://repo1.maven.org/maven2/com/amazonaws/aws-lambda-java-log4j2/) trong các phòng ban của mình cần phải cập nhật lên phiên bản 1.3.0 rồi triển khai lại.
AWS CloudHSM
Các phiên bản CloudHSM JCE SDK trước phiên bản 3.4.1 bao gồm một phiên bản Apache Log4j bị ảnh hưởng bởi sự cố này. Vào ngày 10 tháng 12 năm 2021, CloudHSM đã phát hành JCE SDK phiên bản 3.4.1 kèm một bản vá của Apache Log4j. Nếu dùng các phiên bản CloudHSM JCE trước phiên bản 3.4.1, bạn có thể bị ảnh hưởng và nên khắc phục bằng cách nâng cấp CloudHSM JCE SDK lên phiên bản 3.4.1 trở lên [1].
[1] https://docs.aws.amazon.com/cloudhsm/latest/userguide/java-library-install.html