AWS đã lưu ý đến sự cố phát hiện thấy gần đây liên quan đến tiện ích Apache “Log4j2" nguồn mở (CVE-2021-44228 và CVE-2021-45046).
Việc ứng phó với các vấn đề bảo mật như thế này cho thấy giá trị của việc có nhiều lớp công nghệ phòng thủ, điều này rất quan trọng để duy trì tính bảo mật cho dữ liệu và khối lượng công việc của khách hàng của chúng tôi.
Chúng tôi rất coi trọng vấn đề này và nhóm kỹ sư đẳng cấp thế giới của chúng tôi đã triển khai hoàn toàn bản vá nóng của Java do Amazon phát triển có tại đây cho tất cả dịch vụ AWS. Bản vá nóng cập nhật Java VM để vô hiệu hóa việc tải lớp giao diện thư mục và đặt tên Java (JNDI), thay thế lớp này bằng một thông báo vô hại, Cách này giúp khắc phục CVE-2021-44228 và CVE-2021-45046. Chúng tôi sẽ sớm hoàn tất quá trình triển khai thư viện Log4j đã cập nhật cho tất cả dịch vụ của mình. Thêm thông tin về bản vá nóng Java có tại https://aws.amazon.com/blogs/security/open-source-hotpatch-for-apache-log4j-vulnerability/.
Ngay cả khi đã triển khai bản vá nóng này, khách hàng sẽ vẫn triển khai thư viện Log4j đã cập nhật một cách nhanh chóng và an toàn nhất có thể, giống như chúng tôi đang làm trên AWS.
Để biết thông tin chi tiết về cách phát hiện và khắc phục sự cố Log4j CVE bằng các dịch vụ AWS, vui lòng đọc bài đăng blog gần đây nhất của chúng tôi tại đây.
Sau bản tin cuối cùng này, không cần phải cung cấp thêm thông tin cập nhật cụ thể cho dịch vụ nào nữa.
Nếu bạn cần thêm thông tin chi tiết hoặc hỗ trợ, vui lòng liên hệ với AWS Support.
Amazon Connect
Amazon Connect đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Chúng tôi khuyến nghị khách hàng nên đánh giá các thành phần trong môi trường nằm ngoài ranh giới dịch vụ Amazon Connect (chẳng hạn như các hàm Lambda được gọi từ quy trình liên hệ). Việc này có thể yêu cầu biện pháp khắc phục riêng/bổ sung của khách hàng.
Amazon Chime
Các dịch vụ Amazon Chime SDK đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228 và CVE-2021-45046.
Các dịch vụ Amazon Chime đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228 và CVE-2021-45046.
Amazon EMR
CVE-2021-44228 ảnh hưởng đến các phiên bản Apache Log4j từ 2.0 đến 2.14.1 khi xử lý thông tin đầu vào từ các nguồn không đáng tin cậy. Các cụm EMR đã phát hành cùng với các phiên bản EMR 5 và EMR 6 gồm các khung nguồn mở, chẳng hạn như Apache Hive, Apache Flink, HUDI, Presto và Trino, dùng các phiên bản này của Apache Log4j. Khi bạn phát hành một cụm có cấu hình mặc định của EMR, cụm này không xử lý thông tin đầu vào từ các nguồn không đáng tin cậy. Nhiều khách hàng dùng các khung nguồn mở được cài đặt trên các cụm EMR của họ để xử lý và ghi lại thông tin đầu vào từ các nguồn không đáng tin cậy. Do đó, AWS khuyên bạn nên áp dụng giải pháp mô tả tại đây.
Amazon Fraud Detector
Các dịch vụ Amazon Fraud Detector đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon Kendra
Amazon Kendra đã được cập nhật để khắc phục CVE-2021-44228.
Amazon Lex
Amazon Lex đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon Lookout for Equipment
Amazon Lookout for Equipment đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon Macie
Các dịch vụ Amazon Macie đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon Macie Classic
Dịch vụ Amazon Macie Classic đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon Monitron
Amazon Monitron đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon RDS
Amazon RDS và Amazon Aurora đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon Rekognition
Các dịch vụ Amazon Rekognition đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon VPC
Amazon VPC, bao gồm các dịch vụ Cổng Internet và Cổng ảo đã được cập nhật để khắc phục sự cố Log4j được nêu trong CVE-2021-44228.
AWS AppSync
AWS AppSync đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228 và CVE-2021-45046.
AWS Certificate Manager
Các dịch vụ AWS Certificate Manager đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Các dịch vụ ACM Private CA đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
AWS Service Catalog
AWS Service Catalog đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
AWS Systems Manager
Dịch vụ AWS Systems Manager đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228. Bản thân Systems Manager Agent không bị ảnh hưởng bởi sự cố này.
AWS đã lưu ý đến sự cố phát hiện thấy gần đây liên quan đến tiện ích Apache “Log4j2" nguồn mở (CVE-2021-44228 và CVE-2021-45046).
Việc ứng phó với các vấn đề bảo mật như thế này cho thấy giá trị của việc có nhiều lớp công nghệ phòng thủ, điều này rất quan trọng để duy trì tính bảo mật cho dữ liệu và khối lượng công việc của khách hàng của chúng tôi. Chúng tôi rất coi trọng vấn đề này và nhóm kỹ sự đẳng cấp thế giới của chúng tôi đã làm việc suốt ngày đêm nhằm ứng phó và khắc phục. Chúng tôi hy vọng sẽ nhanh chóng khôi phục toàn bộ trạng thái phòng thủ nhiều lớp của chúng tôi.
Một trong các công nghệ mà chúng tôi đã xây dựng và triển khai rộng rãi trong AWS là bản vá nóng cho các ứng dụng có thể bao gồm Log4j. Bản vá nóng này cập nhật Java VM để vô hiệu hóa việc tải lớp giao diện thư mục và đặt tên Java (JNDI), thay thế lớp này bằng một thông báo vô hại. Cách này giúp khắc phục hiệu quả CVE-2021-44228 và CVE-2021-45046.
Chúng tôi cũng cung cấp bản vá nóng này dưới dạng giải pháp nguồn mở có tại đây.
Ngay cả khi đã triển khai bản vá nóng này, khách hàng sẽ vẫn triển khai thư viện Log4j đã cập nhật một cách nhanh chóng và an toàn nhất có thể.
Để biết thông tin chi tiết về cách phát hiện và khắc phục sự cố Log4j CVE bằng các dịch vụ AWS, vui lòng đọc bài đăng blog gần đây nhất của chúng tôi tại đây.
Thông tin bổ sung cho dịch vụ cụ thể có ở dưới đây. Nếu bạn cần thêm thông tin chi tiết hoặc hỗ trợ, vui lòng liên hệ với AWS Support.
Amazon EKS, Amazon ECS và AWS Fargate
Để giúp giảm thiểu tác động của sự cố bảo mật (CVE-2021-44228 và CVE-2021-45046) với tiện ích Apache “Log4j2" nguồn mở trong bộ chứa của khách hàng, Amazon EKS, Amazon ECS và AWS Fargate đang triển khai một bản cập nhật dựa trên Linux (bản vá nóng). Bản vá nóng này sẽ yêu cầu khách hàng chọn sử dụng và tắt tính năng tra cứu JNDI từ thư viện Log4J2 trong bộ chứa của khách hàng. Những bản cập nhật này được cung cấp dưới dạng gói Amazon Linux dành cho khách hàng Amazon ECS, là một DaemonSet dành cho người dùng Kubernetes trên AWS, và sẽ có trong các phiên bản nền tảng AWS Fargate được hỗ trợ.
Khách hàng chạy các ứng dụng dựa trên Java trong bộ chứa Windows nên làm theo hướng dẫn của Microsoft tại đây.
Amazon ECR Public và Amazon ECR
Các hình ảnh do Amazon sở hữu được xuất bản trong Tài khoản đã xác minh trên Amazon ECR Public không bị ảnh hưởng bởi sự cố được mô tả trong CVE-2021-4422. Đối với những hình ảnh do khách hàng sở hữu trên Amazon ECR, AWS cung cấp khả năng Quét nâng cao với Amazon Inspector, ứng dụng này được thiết kế để liên tục quét hình ảnh trong bộ chứa nhằm tìm các sự cố bảo mật đã biết, bao gồm cả hình ảnh trong bộ chứa có CVE-2021-44228. Kết quả được báo cáo trong Inspector và bảng điều khiển ECR. Các tài khoản mới sử dụng Inspector được dùng thử 15 ngày miễn phí tính năng quét hình ảnh trong bộ chứa miễn phí. Đối với khách hàng sử dụng hình ảnh trong ECR Public từ các nhà xuất bản bên thứ ba, khách hàng có thể sử dụng tính năng Pull Through Cache mới ra mắt gần đây của ECR để sao chép những hình ảnh đó từ ECR Public vào sổ đăng ký ECR của họ và sử dụng tính năng quét của Inspector để phát hiện các vấn đề bảo mật.
Amazon Cognito
Các dịch vụ Amazon Cognito đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon Pinpoint
Các dịch vụ Amazon Pinpoint đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon EventBridge
Amazon EventBridge đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Elastic Load Balancing
Các dịch vụ Elastic Load Balancing đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228. Tất cả Elastic Load Balancer cũng như Cổ điển, ứng dụng, mạng và cổng không được viết bằng Java và do đó không bị ảnh hưởng bởi sự cố này.
AWS CodePipeline
AWS CodePipeline đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228 và CVE-2021-45046.
AWS CodeBuild
AWS CodeBuild đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228 và CVE-2021-45046.
Amazon Route53
Route 53 đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon Linux
Theo mặc định, Amazon Linux 1 (AL1) và Amazon Linux 2 (AL2) dùng phiên bản log4j không bị ảnh hưởng bởi CVE-2021-44228 hoặc CVE-2021-45046. Một phiên bản mới của Amazon Kinesis Agent là một phần của AL2 giải quyết CVE-2021-44228 và CVE-2021-45046. Ngoài ra, để giúp khách hàng đưa vào mã log4j của riêng mình, Amazon Linux đã phát hành một gói mới bao gồm Bản vá cho Apache log4j. Bạn có thể xem thêm chi tiết tại đây.
Amazon SageMaker
Amazon SageMaker đã vá xong cho sự cố Apache Log4j2 (CVE-2021-44228) vào ngày 15 tháng 12 năm 2021.
Chúng tôi tiếp tục khuyến nghị khách hàng nên thực hiện hành động để cập nhật tất cả ứng dụng và dịch vụ của mình bằng cách vá các sự cố đã biết như thế này. Những khách hàng nên thực hiện hành động đối với sự cố này nhận được hướng dẫn chi tiết qua PHD. Ngay cả khi bạn không bị ảnh hưởng bởi sự cố Log4j, chúng tôi khuyên bạn nên bắt đầu lại công việc hoặc cập nhật ứng dụng để dùng phiên bản phần mềm mới nhất của chúng tôi.
Amazon Athena
Amazon Athena đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228. Tất cả các phiên bản của trình điều khiển Amazon Athena JDBC được bán cho khách hàng không bị ảnh hưởng bởi sự cố này.
AWS Certificate Manager
Các dịch vụ AWS Certificate Manager đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Các dịch vụ ACM Private CA đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon AppFlow
Amazon AppFlow đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon Polly
Amazon Polly đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon QuickSight
Amazon QuickSight đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
AWS Textract
Các dịch vụ AWS Textract đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon Corretto
Phiên bản Amazon Corretto mới nhất được phát hành ngày 19 tháng 10 không bị ảnh hưởng bởi CVE-2021-44228 vì bản phân phối Corretto không bao gồm Log4j. Chúng tôi khuyến nghị khách hàng nên cập nhật lên phiên bản Log4j mới nhất trong tất cả ứng dụng dùng phần mềm này, bao gồm các yếu tố phụ thuộc trực tiếp, yếu tố phụ thuộc gián tiếp và các jar được tạo bóng.
AWS đã lưu ý đến sự cố bảo mật phát hiện thấy gần đây liên quan đến tiện ích Apache “Log4j2" nguồn mở (CVE-2021-44228).
Việc ứng phó với các vấn đề bảo mật như thế này cho thấy giá trị của việc có nhiều lớp công nghệ phòng thủ, điều này rất quan trọng để duy trì tính bảo mật cho dữ liệu và khối lượng công việc của khách hàng của chúng tôi. Chúng tôi rất coi trọng vấn đề này và nhóm kỹ sự đẳng cấp thế giới của chúng tôi đã làm việc suốt ngày đêm nhằm ứng phó và khắc phục. Chúng tôi hy vọng sẽ nhanh chóng khôi phục toàn bộ trạng thái phòng thủ nhiều lớp của chúng tôi.
Một trong các công nghệ mà chúng tôi đã xây dựng và triển khai là bản vá nóng cho các ứng dụng có thể bao gồm Log4j. Chúng tôi cũng cung cấp bản vá nóng này dưới dạng giải pháp nguồn mở có tại đây.
Ngay cả khi đã triển khai bản vá nóng này, khách hàng sẽ vẫn lên kế hoạch triển khai thư viện Log4j đã cập nhật một cách nhanh chóng và an toàn nhất có thể.
Thông tin bổ sung cho dịch vụ cụ thể có ở dưới đây. Nếu bạn cần thêm thông tin chi tiết hoặc hỗ trợ, vui lòng liên hệ với AWS Support.
Amazon Kinesis
Một phiên bản mới của Kinesis Agent, giúp khắc phục sự cố với thư viện Apache Log4j2 phát hiện thấy gần đây (CVE-2021-44228) có tại đây.
Amazon Inspector
Dịch vụ Amazon Inspector được khắc phục sự cố với Log4j.
Dịch vụ Inspector giúp phát hiện thấy các sự cố CVE-2021-44228 (Log4Shell) trong các hình ảnh ECR và khối lượng công việc EC2 của khách hàng. Tính năng phát hiện hiện có sẵn cho các gói cấp hệ điều hành bị ảnh hưởng trên Linux. Các gói này bao gồm nhưng không giới hạn ở apache-log4j2 và liblog4j2-java cho Debian; log4j, log4jmanual và log4j12 cho SUSE; và Elasticsearch cho Alpine, Centos, Debian, Red Hat, SUSE và Ubuntu. Các phát hiện bổ sung sẽ được thêm vào khi nhóm bảo mật phân phối tương ứng xác định được các tác động khác. Inspector phân tích kho lưu trữ Java được lưu trữ trong các hình ảnh ECR và tạo các kết quả cho các gói hoặc ứng dụng bị ảnh hưởng. Những kết quả này sẽ được xác định trong bảng điều khiển Inspector trong “CVE-2021-44228” hoặc “IN1-JAVA-ORGAPACHELOGGINGLOG4J-2314720 - org.apache.logging.log4j:log4j-core”.
Amazon Inspector Classic
Dịch vụ Amazon Inspector được khắc phục sự cố với Log4j.
Dịch vụ Inspector Classic giúp phát hiện thấy các sự cố CVE-2021-44228 (Log4Shell) trong các khối lượng công việc EC2 của khách hàng. Tính năng phát hiện cho CVE-2021-44228 (Log4Shell) hiện có sẵn cho các gói cấp hệ điều hành bị ảnh hưởng trên Linux. Các gói này bao gồm nhưng không giới hạn ở apache-log4j2 và liblog4j2-java cho Debian; log4j, log4jmanual và log4j12 cho SUSE; và Elasticsearch cho Alpine, Centos, Debian, Red Hat, SUSE và Ubuntu.
Amazon WorkSpaces/AppStream 2.0
Amazon WorkSpaces và AppStream 2.0 không bị ảnh hưởng bởi CVE-2021-44228 với các cấu hình mặc định. Các hình ảnh Amazon Linux 2 mặc định của WorkSpaces và AppStream không chứa Log4j, và các phiên bản của Log4j có trong kho lưu trữ gói mặc định Amazon Linux 2 không bị ảnh hưởng bởi CVE-2021-44228. Tuy nhiên, nếu bạn đã triển khai ứng dụng khách WorkDocs Sync cho Windows WorkSpaces, vui lòng thực hiện hành động khuyến nghị ở bên dưới.
Theo mặc định, Windows WorkSpaces chưa cài đặt WorkDocs Sync. Tuy nhiên, WorkSpaces đã có lối tắt mặc định trên màn hình nền tới trình cài đặt ứng dụng WorkDocs Sync trước tháng 6 năm 2021. Ứng dụng WorkDocs Sync phiên bản 1.2.895.1 (và phiên bản cũ hơn) chứa thành phần Log4j. Nếu bạn đã triển khai các phiên bản ứng dụng WorkDocs Sync cũ cho WorkSpaces, vui lòng khởi động lại ứng dụng Sync trên WorkSpaces thông qua các công cụ quản lý như SCCM hoặc hướng dẫn người dùng WorkSpaces mở ứng dụng Sync - “Amazon WorkDocs” từ danh sách các chương trình đã cài đặt theo cách thủ công. Khi khởi động, ứng dụng Sync sẽ tự động cập nhật lên phiên bản 1.2.905.1 mới nhất không bị ảnh hưởng bởi CVE-2021-44228. Các ứng dụng Workdocs Drive và Workdocs Companion không bị ảnh hưởng bởi sự cố.
Amazon Timestream
Amazon Timestream đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon DocumentDB
Kể từ ngày 13 tháng 12 năm 2021, Amazon DocumentDB đã được vá để khắc phục sự cố Log4j được nêu trong CVE-2021-44228.
Amazon CloudWatch
Các dịch vụ Amazon CloudWatch đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
AWS Secrets Manager
AWS Secrets Manager đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon Single Sign-On
Các dịch vụ Amazon Single Sign-On đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon RDS Oracle
Amazon RDS Oracle đã cập nhật phiên bản Log4j2 dùng trong dịch vụ. Quyền truy cập vào các phiên bản RDS tiếp tục bị giới hạn bởi các VPC và các công cụ kiểm soát bảo mật khác, chẳng hạn như các nhóm bảo mật và danh sách kiểm soát truy cập (ACL) mạng. Chúng tôi đặc biệt khuyến khích bạn xem lại các cài đặt này nhằm đảm bảo quản lý truy cập phù hợp cho các phiên bản RDS của bạn.
Theo tài liệu Hỗ trợ Oracle 2827611.1, cơ sở dữ liệu của Oracle không bị ảnh hưởng bởi sự cố này.
Amazon Cloud Directory
Amazon Cloud Directory đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon Simple Queue Service (SQS)
Amazon Simple Queue Service (SQS) đã vá xong cho sự cố Apache Log4j2 (CVE-2021-44228) cho dữ liệu vào và ra của SQS vào ngày 13 tháng 12 năm 2021. Chúng tôi cũng vá xong tất cả các hệ thống SQS khác dùng Log4j2.
AWS KMS
AWS KMS đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon Redshift
Các cụm Amazon Redshift đã được tự động cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
AWS Lambda
AWS Lambda không bao gồm Log4j2 trong thời gian chạy được quản lý hoặc hình ảnh bộ chứa cơ sở. Do đó, những dịch vụ này không bị ảnh hưởng bởi sự cố mô tả trong CVE-2021-44228 và CVE-2021-45046.
Đối với các trường hợp trong đó một hàm của khách hàng bao gồm phiên bản Log4j2 bị ảnh hưởng, chúng tôi đã áp dụng thay đổi cho thời gian chạy Lambda Java được quản lý và hình ảnh bộ chứa cơ sở (Java 8, Java 8 trên AL2 và Java 11) giúp khắc phục các sự cố trong CVE-2021-44228 và CVE-2021-45046. Khách hàng sử dụng thời gian chạy được quản lý sẽ tự động áp dụng thay đổi. Khách hàng sử dụng hình ảnh bộ chứa sẽ cần phải xây dựng lại từ hình ảnh bộ chứa cơ sở mới nhất và triển khai lại.
Ngoài thay đổi này, chúng tôi đặc biệt khuyến nghị tất cả khách hàng có các hàm bao gồm Log4j2 cập nhật lên phiên bản mới nhất. Cụ thể, khách hàng đang dùng thư viện aws-lambda-java-log4j2 trong các hàm của mình cần phải cập nhật lên phiên bản 1.4.0 rồi triển khai lại các hàm này. Phiên bản này cập nhật các yếu tố phụ thuộc tiện ích Log4j2 cơ sở lên phiên bản 2.16.0. Nhị phân aws-lambda-java-log4j2 đã cập nhật có tại kho lưu trữ Maven và mã nguồn của kho lưu trữ này có trong Github.
AWS đã lưu ý đến sự cố bảo mật phát hiện thấy gần đây liên quan đến tiện ích Apache “Log4j2" nguồn mở (CVE-2021-44228).
Việc ứng phó với các vấn đề bảo mật như thế này cho thấy giá trị của việc có nhiều lớp công nghệ phòng thủ, điều này rất quan trọng để duy trì tính bảo mật cho dữ liệu và khối lượng công việc của khách hàng của chúng tôi. Chúng tôi rất coi trọng vấn đề này và nhóm kỹ sự đẳng cấp thế giới của chúng tôi đã làm việc suốt ngày đêm nhằm ứng phó và khắc phục. Chúng tôi hy vọng sẽ nhanh chóng khôi phục toàn bộ trạng thái phòng thủ nhiều lớp của chúng tôi.
Chúng tôi tiếp tục khuyến nghị khách hàng nên thực hiện hành động để cập nhật tất cả ứng dụng và dịch vụ của mình bằng cách vá các sự cố đã biết như thế này và tiếp tục làm theo hướng dẫn có kiến trúc tối ưu của chúng tôi.
Thông tin bổ sung cho dịch vụ cụ thể có ở dưới đây. Nếu bạn cần thêm thông tin chi tiết hoặc hỗ trợ, vui lòng liên hệ với AWS Support.
Amazon API Gateway
Kể từ ngày 13 tháng 12 năm 2021, tất cả máy chủ Amazon API Gateway đã được vá để khắc phục sự cố Log4j được nêu trong CVE-2021-44228.
Amazon CloudFront
Các dịch vụ Amazon CloudFront đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228. Các dịch vụ xử lý yêu cầu CloudFront chạy trong POP của chúng tôi không được viết bằng Java, do đó không bị ảnh hưởng bởi sự cố này.
Amazon Connect
Các dịch vụ Amazon Connect đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon DynamoDB
Amazon DynamoDB và Amazon DynamoDB Accelerator (DAX) đã được cập nhật để khắc phục sự cố được nêu trong CVE-2021-44228.
Amazon EC2
Các phiên bản Log4j có trong kho lưu trữ Amazon Linux 1 và Amazon Linux 2 không bị ảnh hưởng bởi CVE-2021-44228. Thêm thông tin về các bản cập nhật phần mềm liên quan đến bảo mật dành cho Amazon Linux có trong Trung tâm bảo mật Amazon Linux.
Amazon ElastiCache
Công cụ Redis của Amazon ElastiCache không bao gồm Log4j2 trong thời gian chạy được quản lý hoặc hình ảnh bộ chứa cơ sở. Amazon ElastiCache đã vá xong cho sự cố Apache Log4j2 (CVE-2021-44228) vào ngày 12 tháng 12 năm 2021.
Amazon EMR
CVE-2021-44228 ảnh hưởng đến các phiên bản Apache Log4j từ 2.0 đến 2.14.1 khi xử lý thông tin đầu vào từ các nguồn không đáng tin cậy. Các cụm EMR đã phát hành cùng với các phiên bản EMR 5 và EMR 6 gồm các khung nguồn mở, chẳng hạn như Apache Hive, Apache Flink, HUDI, Presto và Trino, dùng các phiên bản này của Apache Log4j. Khi bạn phát hành một cụm có cấu hình mặc định của EMR, cụm này không xử lý thông tin đầu vào từ các nguồn không đáng tin cậy.
Chúng tôi đang tích cực làm việc để xây dựng bản cập nhật nhằm khắc phục sự cố được thảo luận trong CVE-2021-44228 khi các khung nguồn mở được cài đặt trên cụm EMR của bạn xử lý thông tin từ các nguồn không đáng tin cậy.
AWS IoT SiteWise Edge
Bản cập nhật cho tất cả các thành phần AWS IoT SiteWise Edge dùng Log4j đã được cung cấp để triển khai vào ngày 13/12/2021. Những thành phần này là: bộ sưu tập OPC-UA (v2.0.3), Gói xử lý dữ liệu (v2.0.14) và Trình xuất bản (v2.0.2). AWS khuyến nghị khách hàng đang dùng những thành phần này nên triển khai phiên bản mới nhất cho các cổng SiteWise Edge của họ.
Amazon Keyspaces (cho Apache Cassandra)
Amazon Keyspaces (cho Apache Cassandra) đã được cập nhật để khắc phục sự cố được nêu trong CVE-2021-44228.
Amazon Kinesis Data Analytics
Các phiên bản của Apache Flink được Amazon Kinesis Data Analytics hỗ trợ bao gồm các phiên bản Apache Log4j từ 2.0 đến 2.14.1. Các ứng dụng Kinesis Data Analytics hoạt động trong môi trường được cách ly chỉ dành cho một đối tượng thuê và không thể tương tác với nhau.
Chúng tôi đang cập nhật phiên bản Log4j có sẵn cho các ứng dụng khách hàng của Kinesis Data Analytics ở tất cả các khu vực AWS. Các ứng dụng đã được khởi động hoặc được cập nhật sau 6:30 tối theo giờ PST ngày 12/12/202.1 sẽ tự động nhận được bản vá cập nhật. Những khách hàng có ứng dụng đã được khởi động hoặc cập nhật trước đó có thể đảm bảo rằng ứng dụng của họ chạy trên phiên bản cập nhật của Log4j bằng cách gọi API Kinesis Data Analytics UpdateApplication. Thêm thông tin về API UpdateApplication có trong tài liệu của dịch vụ.
Amazon Kinesis Data Streams
Chúng tôi sẽ chủ động vá tất cả hệ thống phụ dùng Log4j2 bằng cách áp dụng bản cập nhật. Kinesis Client Library (KCL) phiên bản 2.X và Kinesis Producer Library (KPL) không bị ảnh hưởng. Đối với những khách hàng dùng KCL 1.x, chúng tôi đã phát hành phiên bản cập nhật và đặc biệt khuyến nghị tất cả khách hàng dùng KCL phiên bản 1.x cập nhật lên KCL phiên bản 1.14.5 (hoặc cao hơn) có tại đây.
Amazon Managed Streaming for Apache Kafka (MSK)
Chúng tôi biết về sự cố (CVE-2021-44228) phát hiện thấy gần đây liên quan đến thư viện Apache Log4j2 và đang áp dụng các bản cập nhật theo yêu cầu. Xin lưu ý rằng các bản dựng của Apache Kafka và Apache Zookeeper được cung cấp trong MSK hiện đang sử dụng Log4j 1.2.17, không bị ảnh hưởng bởi sự cố này. Một số thành phần dịch vụ dành riêng cho MSK sử dụng thư viện Log4j > 2.0.0 và sẽ được vá khi cần.
Amazon Managed Workflows for Apache Airflow (MWAA)
MWAA có hai khía cạnh cần xem xét về sự cố (CVE-2021-44228) đã phát hiện thấy gần đây liên quan đến thư viện Apache Log4j2: mã dịch vụ Amazon MWAA (AWS cụ thể) và mã nguồn mở (Apache Airflow).
Từ ngày 14 tháng 12 năm 2021, chúng tôi đã hoàn thành tất cả các cập nhật bắt buộc đối với mã dịch vụ MWAA để giải quyết sự cố. Apache Airflow không dùng Log4j2 và không bị ảnh hưởng bởi sự cố này.
Chúng tôi đặc biệt khuyến nghị khách hàng đã thêm Log4j2 vào các môi trường của họ để cập nhật lên phiên bản mới nhất.
Amazon MemoryDB for Redis
Amazon MemoryDB for Redis đã vá xong cho sự cố Apache Log4j2 (CVE-2021-44228) vào ngày 12 tháng 12 năm 2021.
Amazon MQ
Amazon MQ có hai khía cạnh cần xem xét về sự cố đã phát hiện thấy gần đây (CVE-2021-44228) liên quan đến thư viện Apache Log4j2: mã dịch vụ Amazon MQ (AWS cụ thể) và mã nguồn mở (trình trung chuyển tin nhắn Apache ActiveMQ và RabbitMQ).
Từ ngày 13 tháng 12 năm 2021, chúng tôi đã hoàn tất tất cả các cập nhật bắt buộc đối với mã dịch vụ Amazon MQ để giải quyết sự cố.
Không cần phải cập nhật các trình trung chuyển tin nhắn nguồn mở. Tất cả các phiên bản Apache ActiveMQ được cung cấp trong Amazon MQ đều dùng Log4j phiên bản 1.2.x, không bị ảnh hưởng bởi sự cố này. RabbitMQ không dùng Log4j và không bị ảnh hưởng bởi sự cố này.
Amazon Neptune
Tất cả các cụm Amazon Neptune đã được tự động cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon OpenSearch Service
Amazon OpenSearch Service đã phát hành một bản cập nhật phần mềm dịch vụ quan trọng, R20211203-P2, chứa phiên bản cập nhật của Log4j2 trong tất cả các khu vực. Chúng tôi đặc biệt khuyến nghị khách hàng nên cập nhật các cụm OpenSearch cho phiên bản này càng sớm càng tốt.
Amazon RDS
Amazon RDS và Amazon Aurora đang tích cực giải quyết tất cả mức sử dụng dịch vụ của Log4j2 bằng cách áp dụng các bản cập nhật. Các công cụ cơ sở dữ liệu quan hệ được xây dựng bởi RDS không bao gồm thư viện Apache Log4j2. Khi có sự tham gia của các nhà cung cấp thượng nguồn, chúng tôi sẽ áp dụng biện pháp khắc phục được khuyến nghị. Khách hàng có thể thấy các sự kiện gián đoạn trong quá trình cập nhật các thành phần nội bộ.
Amazon S3
Amazon S3 đã vá xong cho sự cố Apache Log4j2 (CVE-2021-44228) cho dữ liệu vào và ra của S3 vào ngày 11 tháng 12 năm 2021. Chúng tôi cũng vá xong tất cả các hệ thống S3 khác dùng Log4j2.
Amazon Simple Notification Service (SNS)
Các hệ thống Amazon SNS cung cấp lưu lượng truy cập cho khách hàng được vá lỗi Log4j2. Chúng tôi đang nỗ lực sử dụng bản vá Log4j2 cho các hệ thống phụ hoạt động riêng biệt với các hệ thống của SNS cung cấp lưu lượng truy cập cho khách hàng.
Amazon Simple Workflow Service (SWF)
Amazon Simple Workflow Service (SWF) đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
AWS CloudHSM
Các phiên bản AWS CloudHSM JCE SDK trước phiên bản 3.4.1 bao gồm một phiên bản Apache Log4j bị ảnh hưởng bởi sự cố này. Vào ngày 10 tháng 12 năm 2021, CloudHSM đã phát hành JCE SDK phiên bản 3.4.1 kèm một bản vá của Apache Log4j. Nếu dùng các phiên bản CloudHSM JCE trước phiên bản 3.4.1, bạn có thể bị ảnh hưởng và phải khắc phục sự cố bằng cách nâng cấp CloudHSM JCE SDK lên phiên bản 3.4.1 trở lên.
AWS Elastic Beanstalk
AWS Elastic Beanstalk cài đặt Log4j từ kho lưu trữ gói mặc định của Amazon Linux trong các nền tảng Tomcat dành cho Amazon Linux 1 và Amazon Linux 2. Các phiên bản Log4j có trong kho lưu trữ Amazon Linux 1 và Amazon Linux 2 không bị ảnh hưởng bởi CVE-2021-44228.
Nếu bạn đã thực hiện các thay đổi cấu hình khi sử dụng Log4j của ứng dụng, thì chúng tôi khuyên bạn nên thực hiện hành động để cập nhật mã ứng dụng của mình nhằm khắc phục sự cố này.
Theo thông lệ của chúng tôi, nếu các phiên bản vá lỗi của các phiên bản trong kho lưu trữ gói mặc định này được phát hành, Elastic Beanstalk sẽ bao gồm phiên bản vá lỗi trong bản phát hành phiên bản nền tảng Tomcat tiếp theo cho Amazon Linux 1 và Amazon Linux 2.
Thêm thông tin về các bản cập nhật phần mềm liên quan đến bảo mật dành cho Amazon Linux có trong Trung tâm bảo mật Amazon Linux.
AWS Glue
AWS Glue đã lưu ý đến sự cố bảo mật phát hiện thấy gần đây liên quan đến tiện ích Apache “Log4j2" nguồn mở (CVE-2021-44228). Chúng tôi đã cập nhật nhóm tầng điều khiển cung cấp API AWS Glue cho tất cả các phiên bản Glue được hỗ trợ.
AWS Glue tạo ra một môi trường Spark mới được cách ly ở cấp mạng và cấp quản lý khỏi tất cả các môi trường Spark khác bên trong tài khoản dịch vụ AWS Glue. Các tác vụ ETL của bạn được thực thi trên một môi trường đối tượng thuê duy nhất. Nếu bạn đã tải lên tệp jar tùy chỉnh để sử dụng trong các tác vụ ETL của mình hoặc Điểm cuối phát triển bao gồm một phiên bản cụ thể của Apache Log4j, thì bạn nên cập nhật jar để sử dụng phiên bản Apache Log4j mới nhất.
AWS Glue cũng chủ động áp dụng bản cập nhật cho các môi trường Spark mới trên tất cả các khu vực được hỗ trợ. Nếu bạn có câu hỏi hoặc muốn được hỗ trợ thêm, vui lòng liên hệ với AWS Support.
AWS Greengrass
Kể từ ngày 10/12/2021, đã có các bản cập nhật cho tất cả thành phần AWS Greengrass V2 dùng Log4j để triển khai. Các thành phần này là: Stream Manager (2.0.14) và Secure Tunneling (1.0.6). AWS khuyến nghị khách hàng đang dùng những thành phần Greengrass này nên triển khai phiên bản mới nhất cho các dịch vụ của họ.
Tính năng Stream Manager của các phiên bản Greengrass 1.10.x và 1.11.x dùng Log4j. Bản cập nhật tính năng Stream Manager có trong phiên bản vá lỗi 1.10.5 và 1.11.5 của Greengrass, cả hai phiên bản vá lỗi này đều được phát hành kể từ ngày 12/12/2021. Chúng tôi đặc biệt khuyến nghị khách hàng dùng phiên bản 1.10.x và 1.11.x đã bật tính năng Stream Manager trên thiết bị của họ (hoặc có thể bật tính năng này sau) nên cập nhật thiết bị lên phiên bản mới nhất.
AWS Lake Formation
Các máy chủ của dịch vụ AWS Lake Formation đang được cập nhật lên phiên bản Log4j mới nhất để giải quyết sự cố bằng các phiên bản được nêu trong CVE-2021-44228.
AWS Lambda
AWS Lambda không bao gồm Log4j2 trong thời gian chạy được quản lý hoặc hình ảnh bộ chứa cơ sở. Do đó, những dịch vụ này không bị ảnh hưởng bởi sự cố mô tả trong CVE-2021-44228. Khách hàng đang dùng thư viện aws-lambda-java-log4j2 trong các hàm của mình cần phải cập nhật lên phiên bản 1.3.0 rồi triển khai lại.
AWS SDK
AWS SDK cho Java sử dụng giao diện ghi nhật ký và không có thời gian chạy phụ thuộc vào Log4j. Hiện tại, chúng tôi cho rằng không cần phải thay đổi bất kỳ AWS SDK cho Java liên quan đến sự cố này.
AWS Step Functions
AWS Step Functions đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
AWS Web Application Firewall (WAF)
Để cải thiện khả năng phát hiện và khắc phục liên quan đến sự cố bảo mật Log4j gần đây, khách hàng của CloudFront, Application Load Balancer (ALB), API Gateway và AppSync có thể tùy chọn bật AWS WAF và áp dụng hai Quy tắc được quản lý AWS (AMR): AWSManagedRulesKnownBadInputsRuleSet và AWSManagedRulesAnonymousIpList.
AWSManagedRulesKnownBadInputsRuleSet sẽ kiểm tra các tiêu đề thường dùng, phần thân, uri của yêu cầu, trong khi AWSManagedRulesAnonymousIpList giúp chặn các yêu cầu từ các dịch vụ cho phép che giấu danh tính của người xem. Bạn có thể áp dụng các quy tắc này bằng cách tạo ACL web AWS WAF, thêm một hoặc cả hai bộ quy tắc vào ACL web của bạn, sau đó liên kết ACL web với bản phân phối CloudFront, ALB, API Gateway hoặc API AppSync GraphQL.
Chúng tôi tiếp tục lặp lại Nhóm quy tắc AWSManagedRulesKnownBadInputsRuleSet khi chúng tôi tìm hiểu thêm. Để nhận các bản cập nhật tự động cho AWSManagedRulesKnownBadInputsRuleSet, vui lòng chọn phiên bản mặc định. Đối với những khách hàng sử dụng AWS WAF Classic, bạn sẽ cần chuyển sang AWS WAF hoặc tạo các điều kiện đối sánh regex tùy chỉnh. Khách hàng có thể dùng AWS Firewall Manager để hỗ trợ bạn cấu hình các quy tắc AWS WAF trên nhiều tài nguyên và tài khoản AWS từ một nơi. Bạn có thể nhóm các quy tắc, xây dựng chính sách và áp dụng tập trung các chính sách này trong toàn bộ cơ sở hạ tầng của mình.
NICE
Do CVE trong thư viện Apache Log4j có trong EnginFrame từ phiên bản 2020.0 đến 2021.0-r1307, NICE khuyến nghị bạn nên nâng cấp lên phiên bản EnginFrame mới nhất hoặc cập nhật thư viện Log4j trong quá trình cài đặt EnginFrame theo hướng dẫn trên trang web hỗ trợ.
Vui lòng liên hệ với chúng tôi.
AWS đã lưu ý đến sự cố bảo mật phát hiện thấy gần đây liên quan đến tiện ích Apache “Log4j2" nguồn mở (CVE-2021-44228). Chúng tôi đang tích cực giám sát và nỗ lực giải quyết sự cố này cho mọi dịch vụ AWS dùng Log4j2 hoặc cung cấp ứng dụng này cho khách hàng dưới dạng một phần dịch vụ.
Chúng tôi đặc biệt khuyến khích những khách hàng quản lý các môi trường có bản cập nhật Log4j2 cập nhật lên phiên bản mới nhất hoặc cơ chế cập nhật phần mềm của hệ điều hành. Thông tin bổ sung cho dịch vụ cụ thể có ở dưới đây.
Nếu bạn cần thêm thông tin chi tiết hoặc hỗ trợ, vui lòng liên hệ với AWS Support.
S3
S3 đã vá xong cho sự cố Apache Log4j2 (CVE-2021-44228) cho dữ liệu vào và ra của S3 vào ngày 11 tháng 12 năm 2021. Chúng tôi cũng vá xong tất cả các hệ thống S3 khác dùng Log4j2.
Amazon OpenSearch
Amazon OpenSearch Service đang triển khai một bản cập nhật phần mềm dịch vụ, phiên bản R20211203-P2, chứa phiên bản cập nhật của Log4j2. Chúng tôi sẽ thông báo cho khách hàng khi có bản cập nhật trong khu vực của họ và cập nhật bản tin này sau khi bản cập nhật này được cung cấp trên toàn thế giới.
AWS Lambda
AWS Lambda không bao gồm Log4j2 trong thời gian chạy được quản lý hoặc hình ảnh bộ chứa cơ sở. Do đó, những dịch vụ này không bị ảnh hưởng bởi sự cố mô tả trong CVE-2021-44228. Khách hàng đang dùng thư viện aws-lambda-java-log4j2 trong các phòng ban của mình cần phải cập nhật lên phiên bản 1.3.0 rồi triển khai lại.
AWS CloudHSM
Các phiên bản CloudHSM JCE SDK trước phiên bản 3.4.1 bao gồm một phiên bản Apache Log4j bị ảnh hưởng bởi sự cố này. Vào ngày 10 tháng 12 năm 2021, CloudHSM đã phát hành JCE SDK phiên bản 3.4.1 kèm một bản vá của Apache Log4j. Nếu dùng các phiên bản CloudHSM JCE trước phiên bản 3.4.1, bạn có thể bị ảnh hưởng và khắc phục sự cố bằng cách nâng cấp CloudHSM JCE SDK lên phiên bản 3.4.1 trở lên.
Amazon EC2
Các phiên bản Log4j có trong kho lưu trữ Amazon Linux 1 và Amazon Linux 2 không bị ảnh hưởng bởi CVE-2021-44228. Thêm thông tin về các bản cập nhật phần mềm liên quan đến bảo mật dành cho Amazon Linux có trong Trung tâm bảo mật Amazon Linux.
API Gateway
Chúng tôi đang cập nhật API Gateway để dùng một phiên bản của Log4j2 giúp khắc phục sự cố. Bạn có thể thấy tăng độ trễ định kỳ đối với một số API trong quá trình cập nhật.
AWS Greengrass
Kể từ ngày 10/12/2021, đã có các bản cập nhật cho tất cả thành phần Greengrass V2 dùng Log4j để triển khai. Các thành phần này là: Stream Manager (2.0.14) và Secure Tunneling (1.0.6). AWS khuyến nghị khách hàng đang dùng những thành phần Greengrass này nên triển khai phiên bản mới nhất cho các dịch vụ của họ.
Tính năng Stream Manager của các phiên bản Greengrass 1.10.x và 1.11.x dùng Log4j. Bản cập nhật tính năng Stream Manager có trong phiên bản vá lỗi 1.10.5 và 1.11.5 của Greengrass, cả hai phiên bản vá lỗi này đều được phát hành kể từ ngày 12/12/2021. Chúng tôi đặc biệt khuyến nghị khách hàng dùng phiên bản 1.10.x và 1.11.x đã bật tính năng Stream Manager trên thiết bị của họ (hoặc có thể bật tính năng này sau) nên cập nhật thiết bị lên phiên bản mới nhất.
CloudFront
Các dịch vụ CloudFront đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228. Các dịch vụ xử lý yêu cầu CloudFront chạy trong POP của chúng tôi không được viết bằng Java, do đó không bị ảnh hưởng bởi sự cố này.
Elastic BeanStalk
AWS Elastic Beanstalk cài đặt Log4j từ kho lưu trữ gói mặc định của Amazon Linux trong các nền tảng Tomcat dành cho Amazon Linux 1 và Amazon Linux 2. Các phiên bản Log4j có trong kho lưu trữ Amazon Linux 1 và Amazon Linux 2 không bị ảnh hưởng bởi CVE-2021-44228.
Nếu bạn đã thực hiện các thay đổi cấu hình khi sử dụng Log4j của ứng dụng, thì chúng tôi khuyên bạn nên thực hiện hành động để cập nhật mã ứng dụng của mình nhằm khắc phục sự cố này.
Theo thông lệ của chúng tôi, nếu các phiên bản vá lỗi của các phiên bản trong kho lưu trữ gói mặc định này được phát hành, Elastic Beanstalk sẽ bao gồm phiên bản vá lỗi trong bản phát hành phiên bản nền tảng Tomcat tiếp theo cho Amazon Linux 1 và Amazon Linux 2.
Thêm thông tin về các bản cập nhật phần mềm liên quan đến bảo mật dành cho Amazon Linux có trong Trung tâm bảo mật Amazon Linux.
EMR
CVE-2021-44228 ảnh hưởng đến các phiên bản Apache Log4j từ 2.0 đến 2.14.1 khi xử lý thông tin đầu vào từ các nguồn không đáng tin cậy. Các cụm EMR đã phát hành các phiên bản EMR 5 và EMR 6 gồm các khung nguồn mở, chẳng hạn như Apache Hive, Flink, HUDI, Presto và Trino, dùng các phiên bản này của Apache Log4j. Khi bạn phát hành một cụm có cấu hình mặc định của EMR, cụm này không xử lý thông tin đầu vào từ các nguồn không đáng tin cậy.
Chúng tôi đang tích cực làm việc để xây dựng bản cập nhật nhằm khắc phục sự cố được thảo luận trong CVE-2021-44228 khi các khung nguồn mở được cài đặt trên cụm EMR của bạn xử lý thông tin từ các nguồn không đáng tin cậy.
Lake Formation
Các máy chủ của dịch vụ Lake Formation đang được chủ động cập nhật lên phiên bản Log4j mới nhất để giải quyết sự cố bảo mật bằng các phiên bản được nêu trong CVE-2021-44228.
AWS SDK
AWS SDK cho Java sử dụng giao diện ghi nhật ký và không có thời gian chạy phụ thuộc vào log4j. Hiện tại, chúng tôi cho rằng không cần phải thay đổi bất kỳ AWS SDK cho Java liên quan đến sự cố này.
AMS
Chúng tôi đang tích cực giám sát và nỗ lực giải quyết sự cố này cho mọi dịch vụ AMS dùng Log4j2. Chúng tôi đặc biệt khuyến khích những khách hàng quản lý các môi trường có Log4j2 cập nhật lên phiên bản mới nhất hoặc bằng cách dùng cơ chế cập nhật phần mềm của hệ điều hành.
Amazon Neptune
Amazon Neptune bao gồm thư viện Apache Log4j2 dưới dạng một thành phần ngoại vi, nhưng sự cố này được cho là không ảnh hưởng đến người dùng Neptune. Do hết sức thận trọng nên các cụm Neptune sẽ tự động được cập nhật để dùng phiên bản Log4j2 giúp khắc phục sự cố. Khách hàng có thể thấy các sự kiện gián đoạn trong quá trình cập nhật.
NICE
Do CVE trong thư viện Apache Log4j có trong EnginFrame từ phiên bản 2020.0 đến 2021.0-r1307, NICE khuyến nghị bạn nên nâng cấp lên phiên bản EnginFrame mới nhất hoặc cập nhật thư viện Log4j trong quá trình cài đặt EnginFrame theo hướng dẫn trên trang web hỗ trợ.
Vui lòng liên hệ với chúng tôi.
Kafka
Managed Streaming for Apache Kafka biết về sự cố phát hiện thấy gần đây (CVE-2021-44228) liên quan đến thư viện Apache Log4j2 và đang áp dụng các bản cập nhật theo yêu cầu. Xin lưu ý rằng các bản dựng của Apache Kafka và Apache Zookeeper được cung cấp trong MSK hiện đang sử dụng log4j 1.2.17, không bị ảnh hưởng bởi sự cố này. Một số thành phần dịch vụ dành riêng cho MSK sử dụng thư viện log4j > 2.0.0 và sẽ được vá khi cần.
AWS Glue
AWS Glue đã lưu ý đến sự cố bảo mật phát hiện thấy gần đây liên quan đến tiện ích Apache “Log4j2" nguồn mở (CVE-2021-44228). Chúng tôi đã cập nhật nhóm tầng điều khiển cung cấp API AWS Glue cho tất cả các phiên bản Glue được hỗ trợ.
AWS Glue tạo ra một môi trường Spark mới được cách ly ở cấp mạng và cấp quản lý khỏi tất cả các môi trường Spark khác bên trong tài khoản dịch vụ AWS Glue. Các tác vụ ETL của bạn được thực thi trên một môi trường đối tượng thuê duy nhất. Nếu các tác vụ ETL của bạn tải một phiên bản cụ thể của Apache Log4j, thì bạn nên cập nhật các tập lệnh để dùng phiên bản Apache Log4j mới nhất. Nếu dùng điểm cuối phát triển AWS Glue để tạo tập lệnh, thì bạn cũng nên cập nhật phiên bản Log4j mà bạn dùng ở đó.
AWS Glue cũng chủ động áp dụng các bản cập nhật cho môi trường Spark mới trên tất cả các khu vực được hỗ trợ. Nếu bạn có câu hỏi hoặc muốn được hỗ trợ thêm, vui lòng liên hệ với chúng tôi thông qua AWS Support.
RDS
Amazon RDS và Amazon Aurora đang tích cực giải quyết tất cả mức sử dụng dịch vụ của Log4j2 bằng cách áp dụng các bản cập nhật. Các công cụ cơ sở dữ liệu quan hệ được xây dựng bởi RDS không bao gồm thư viện Apache Log4j. Khi có sự tham gia của các nhà cung cấp thượng nguồn, chúng tôi sẽ áp dụng biện pháp khắc phục được khuyến nghị. Khách hàng có thể thấy các sự kiện gián đoạn trong quá trình cập nhật các thành phần nội bộ.
Amazon Connect
Các dịch vụ Amazon Connect đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228.
Amazon DynamoDB
Amazon DynamoDB và Amazon DynamoDB Accelerator (DAX) đã được cập nhật để khắc phục sự cố được nêu trong CVE-2021-44228.
Amazon Keyspaces (cho Apache Cassandra)
Amazon Keyspaces (cho Apache Cassandra) đã được cập nhật để khắc phục sự cố được nêu trong CVE-2021-44228.
Amazon MQ
Amazon MQ có hai khía cạnh cần xem xét về sự cố đã phát hiện thấy gần đây (CVE-2021-44228) liên quan đến thư viện Apache Log4j2: mã dịch vụ Amazon MQ (AWS cụ thể) và mã nguồn mở (trình trung chuyển tin nhắn Apache ActiveMQ và RabbitMQ).
Từ ngày 13 tháng 12 năm 2021, chúng tôi đã hoàn tất tất cả các cập nhật bắt buộc đối với mã dịch vụ Amazon MQ để giải quyết sự cố.
Không cần phải cập nhật các trình trung chuyển tin nhắn nguồn mở. Tất cả các phiên bản Apache ActiveMQ được cung cấp trong Amazon MQ đều dùng Log4j phiên bản 1.2.x, không bị ảnh hưởng bởi sự cố này. RabbitMQ không dùng Log4j và không bị ảnh hưởng bởi sự cố này.
Kinesis Data Analytics
Các phiên bản của Apache Flink được Kinesis Data Analytics hỗ trợ bao gồm các phiên bản Apache Log4j từ 2.0 đến 2.14.1. Các ứng dụng Kinesis Data Analytics hoạt động trong môi trường được cách ly chỉ dành cho một đối tượng thuê và không thể tương tác với nhau.
Chúng tôi đang cập nhật phiên bản Log4j có sẵn cho các ứng dụng khách hàng của Kinesis Data Analytics ở tất cả các khu vực AWS. Các ứng dụng đã được khởi động hoặc được cập nhật sau 6:30 tối theo giờ PST ngày 12/12/202.1 sẽ tự động nhận được bản vá cập nhật. Những khách hàng có ứng dụng đã được khởi động hoặc cập nhật trước đó có thể đảm bảo rằng ứng dụng của họ chạy trên phiên bản cập nhật của Log4j bằng cách gọi API Kinesis Data Analytics UpdateApplication. Vui lòng xem thêm thông tin về API UpdateApplication.
AWS đã lưu ý đến sự cố bảo mật phát hiện thấy gần đây liên quan đến tiện ích Apache “Log4j2" nguồn mở (CVE-2021-44228). Chúng tôi đang tích cực giám sát và nỗ lực giải quyết sự cố này cho mọi dịch vụ AWS dùng Log4j2 hoặc cung cấp ứng dụng này cho khách hàng dưới dạng một phần dịch vụ.
Chúng tôi đặc biệt khuyến khích những khách hàng quản lý các môi trường có bản cập nhật Log4j2 cập nhật lên phiên bản mới nhất hoặc cơ chế cập nhật phần mềm của hệ điều hành.
Đã có báo cáo rằng việc sử dụng Log4j2 trên các JDK sau 8u121 hoặc 8u191 (bao gồm cả JDK 11 trở lên) sẽ giảm thiểu sự cố, nhưng đây chỉ là giảm thiểu một phần. Giải pháp toàn diện duy nhất là nâng cấp Log4j2 lên phiên bản 2.15 và các phiên bản Log4j2 cũ hơn phiên bản 2.15 sẽ được coi là bị ảnh hưởng bất kể bản phân phối hoặc phiên bản JDK được sử dụng.
Thông tin bổ sung cho dịch vụ cụ thể có ở dưới đây.
Nếu bạn cần thêm thông tin chi tiết hoặc hỗ trợ, vui lòng liên hệ với AWS Support.
API Gateway
Chúng tôi đang cập nhật API Gateway để dùng một phiên bản của Log4j2 giúp khắc phục sự cố. Bạn có thể thấy tăng độ trễ định kỳ đối với một số API trong quá trình cập nhật.
AWS Greengrass
Kể từ ngày 10/12/2021, đã có các bản cập nhật cho tất cả thành phần Greengrass V2 dùng Apache Log4j2 để triển khai. Các thành phần này là: Stream Manager (2.0.14) và Secure Tunneling (1.0.6). AWS khuyến nghị khách hàng đang dùng những thành phần Greengrass này nên triển khai phiên bản mới nhất cho các dịch vụ của họ.
Các bản cập nhật cho Greengrass phiên bản 1.10 và 1.11 dự kiến sẽ có trước ngày 17/12/2021. Khách hàng sử dụng Stream Manager trên các thiết bị này nên cập nhật thiết bị của họ ngay sau khi mã nhị phân Greengrass được cung cấp cho các phiên bản này. Trong thời gian chờ đợi, khách hàng nên xác minh rằng mã lambda tùy chỉnh của họ sử dụng Stream Manager trên Greengrass 1.10 hoặc 1.11 không dùng tên luồng và tên tệp tùy ý (đối với trình xuất S3) ngoài tầm kiểm soát của khách hàng, ví dụ: tên luồng hoặc tên tệp có chứa văn bản “${".
Amazon MQ
Amazon MQ có 2 khía cạnh cần xem xét về sự cố đã phát hiện thấy gần đây (CVE-2021-44228) liên quan đến thư viện Apache Log4j2: mã dịch vụ Amazon MQ (AWS cụ thể) và mã nguồn mở (trình trung chuyển tin nhắn Apache ActiveMQ và RabbitMQ).
Chúng tôi đang áp dụng các bản cập nhật bắt buộc cho mã dịch vụ Amazon MQ để giải quyết sự cố.
Không cần phải cập nhật các trình trung chuyển tin nhắn nguồn mở. Tất cả các phiên bản Apache ActiveMQ được cung cấp trong Amazon MQ đều dùng Log4j phiên bản 1.x, không bị ảnh hưởng bởi sự cố này. RabbitMQ không dùng Log4j2 và không bị ảnh hưởng bởi sự cố này.
CloudFront
Các dịch vụ CloudFront đã được cập nhật để khắc phục các sự cố được nêu trong CVE-2021-44228. Các dịch vụ xử lý yêu cầu CloudFront chạy trong POP của chúng tôi không được viết bằng Java, do đó không bị ảnh hưởng bởi sự cố này.
AWS Elastic Beanstalk
AWS Elastic Beanstalk cài đặt Log4j từ kho lưu trữ gói mặc định của Amazon Linux trong các nền tảng Tomcat dành cho Amazon Linux 1 và Amazon Linux 2. Các phiên bản Log4j có trong kho lưu trữ Amazon Linux 1 và Amazon Linux 2 không bị ảnh hưởng bởi CVE-2021-44228.
Nếu bạn đã thực hiện các thay đổi cấu hình khi sử dụng Log4j của ứng dụng, thì chúng tôi khuyên bạn nên thực hiện hành động để cập nhật mã ứng dụng của mình nhằm khắc phục sự cố này.
Theo thông lệ của chúng tôi, nếu các phiên bản vá lỗi của các phiên bản trong kho lưu trữ gói mặc định này được phát hành, Elastic Beanstalk sẽ bao gồm phiên bản vá lỗi trong bản phát hành phiên bản nền tảng Tomcat tiếp theo cho Amazon Linux 1 và Amazon Linux 2.
Thêm thông tin về các bản cập nhật phần mềm liên quan đến bảo mật dành cho Amazon Linux có trong Trung tâm bảo mật Amazon Linux.
EMR
CVE-2021-44228 ảnh hưởng đến các phiên bản Apache Log4j từ 2.0 đến 2.14.1 khi xử lý thông tin đầu vào từ các nguồn không đáng tin cậy. Các cụm EMR đã phát hành các phiên bản EMR 5 và EMR 6 gồm các khung nguồn mở, chẳng hạn như Apache Hive, Flink, HUDI, Presto và Trino, dùng các phiên bản này của Apache Log4j. Khi bạn phát hành một cụm có cấu hình mặc định của EMR, cụm này không xử lý thông tin đầu vào từ các nguồn không đáng tin cậy.
Chúng tôi đang tích cực làm việc để xây dựng bản cập nhật nhằm khắc phục sự cố được thảo luận trong CVE-2021-44228 khi các khung nguồn mở được cài đặt trên cụm EMR của bạn xử lý thông tin từ các nguồn không đáng tin cậy.
Lake Formation
Các máy chủ của dịch vụ Lake Formation đang được chủ động cập nhật lên phiên bản Log4j mới nhất để giải quyết sự cố bằng các phiên bản được nêu trong CVE-2021-44228.
S3
Việc nhập và xuất dữ liệu của S3 được vá lỗi theo sự cố Log4j2. Chúng tôi đang nỗ lực sử dụng bản vá Log4j2 cho các hệ thống S3 hoạt động riêng biệt với việc nhập và xuất dữ liệu của S3.
AWS SDK
AWS SDK cho Java sử dụng giao diện ghi nhật ký và không có thời gian chạy phụ thuộc vào Log4j. Hiện tại, chúng tôi cho rằng không cần phải thay đổi bất kỳ AWS SDK cho Java liên quan đến sự cố này.
AMS
Chúng tôi đang tích cực giám sát và nỗ lực giải quyết sự cố này cho mọi dịch vụ AMS dùng Log4j2. Chúng tôi đặc biệt khuyến khích những khách hàng quản lý các môi trường có Log4j2 cập nhật lên phiên bản mới nhất hoặc bằng cách dùng cơ chế cập nhật phần mềm của hệ điều hành.
AMS khuyến nghị nên triển khai Tường lửa dành cho ứng dụng web (WAF) cho tất cả điểm cuối ứng dụng có thể truy cập Internet. Dịch vụ AWS WAF có thể được cấu hình để cung cấp một lớp bảo vệ bổ sung chống lại sự cố này bằng cách triển khai bộ quy tắc AWSManagedRulesAnonymousIpList (chứa các quy tắc để chặn các nguồn ẩn danh thông tin khách hàng, như các nút TOR) và bộ quy tắc AWSManagedRulesKnownBadInputsRuleSet (bộ quy tắc này kiểm tra URI, nội dung yêu cầu và các tiêu đề thường được sử dụng để giúp chặn các yêu cầu liên quan đến Log4j và các vấn đề khác).
AMS sẽ tiếp tục theo dõi sự cố này và cung cấp các chi tiết và khuyến nghị bổ sung khi có sẵn.
Amazon Neptune
Amazon Neptune bao gồm thư viện Apache Log4j2 dưới dạng một thành phần ngoại vi, nhưng sự cố này được cho là không ảnh hưởng đến người dùng Neptune. Do hết sức thận trọng nên các cụm Neptune sẽ tự động được cập nhật để dùng phiên bản Log4j2 giúp khắc phục sự cố. Khách hàng có thể thấy các sự kiện gián đoạn trong quá trình cập nhật.
NICE
Do CVE trong thư viện Apache Log4j co trong EnginFrame từ phiên bản 2020.0 đến 2021.0-r1307, NICE khuyến nghị bạn nên nâng cấp lên phiên bản EnginFrame mới nhất hoặc cập nhật thư viện Log4j trong quá trình cài đặt EnginFrame theo hướng dẫn trên trang web hỗ trợ.
Vui lòng liên hệ với chúng tôi.
Kafka
Managed Streaming for Apache Kafka biết về sự cố phát hiện thấy gần đây (CVE-2021-44228) liên quan đến thư viện Apache Log4j2 và đang áp dụng các bản cập nhật theo yêu cầu. Xin lưu ý rằng các bản dựng của Apache Kafka và Apache Zookeeper được cung cấp trong MSK hiện đang sử dụng Log4j 1.2.17, không bị ảnh hưởng bởi sự cố này. Một số thành phần dịch vụ dành riêng cho MSK sử dụng thư viện Log4j > 2.0.0 và sẽ được vá khi cần.
AWS Glue
AWS Glue đã lưu ý đến sự cố bảo mật phát hiện thấy gần đây liên quan đến tiện ích Apache “Log4j2" nguồn mở (CVE-2021-44228). Chúng tôi đã cập nhật nhóm tầng điều khiển cung cấp API AWS Glue cho tất cả các phiên bản Glue được hỗ trợ.
AWS Glue tạo ra một môi trường Spark mới được cách ly ở cấp mạng và cấp quản lý khỏi tất cả các môi trường Spark khác bên trong tài khoản dịch vụ AWS Glue. Các tác vụ ETL của bạn được thực thi trên một môi trường đối tượng thuê duy nhất. Nếu các tác vụ ETL của bạn tải một phiên bản cụ thể của Apache Log4j, thì bạn nên cập nhật các tập lệnh để dùng phiên bản Apache Log4j mới nhất. Nếu dùng điểm cuối phát triển AWS Glue để tạo tập lệnh, thì bạn cũng nên cập nhật phiên bản Log4j mà bạn dùng ở đó.
AWS Glue cũng chủ động áp dụng các bản cập nhật cho môi trường Spark mới trên tất cả các khu vực được hỗ trợ. Nếu bạn có câu hỏi hoặc muốn được hỗ trợ thêm, vui lòng liên hệ với chúng tôi thông qua AWS Support.
RDS
Amazon RDS và Amazon Aurora đang tích cực giải quyết tất cả mức sử dụng dịch vụ của Log4j2 bằng cách áp dụng các bản cập nhật. Các công cụ cơ sở dữ liệu quan hệ được xây dựng bởi RDS không bao gồm thư viện Apache Log4j. Khi có sự tham gia của các nhà cung cấp thượng nguồn, chúng tôi sẽ áp dụng biện pháp khắc phục được khuyến nghị. Khách hàng có thể thấy các sự kiện gián đoạn trong quá trình cập nhật các thành phần nội bộ.
OpenSearch
Amazon OpenSearch Service đang triển khai một bản cập nhật phần mềm dịch vụ, phiên bản R20211203-P2, chứa phiên bản cập nhật của Log4j2. Chúng tôi sẽ thông báo cho khách hàng khi có bản cập nhật trong khu vực của họ và cập nhật bản tin này sau khi bản cập nhật này được cung cấp trên toàn thế giới.