Apache log 4j2 | 亞馬遜云科技的應(yīng)對(duì)建議

亞馬遜云科技一直密切關(guān)注最近出現(xiàn)的與開源Apache“l(fā)og4j2”功能(CE4-2021-44228)有關(guān)的安全問(wèn)題，并竭力為所有使用log4j2或?qū)og4j2作為部分服務(wù)提供給用戶的亞馬遜云科技服務(wù)解決這一問(wèn)題。

我們強(qiáng)烈建議管理包含log4j2環(huán)境的用戶前往https://logging.apache.org/log4j/2.x/download.html或利用操作系統(tǒng)的軟件升級(jí)功能更新到最新版本。其他特定服務(wù)的信息如下。

Amazon

EC2

亞馬遜Linux2默認(rèn)包儲(chǔ)存庫(kù)1.2.17-16中提供的log4j2版本在默認(rèn)配置下不受此問(wèn)題影響。為保護(hù)使用log4j2自定義配置的用戶，我們正竭力為亞馬遜Linux2軟件包儲(chǔ)存庫(kù)制作log4j2的更新版本，并會(huì)在該版本可用時(shí)通知用戶。

亞馬遜Linux1默認(rèn)包儲(chǔ)存庫(kù)1.2.16-6中提供的log4j2版本在默認(rèn)配置下不受此問(wèn)題影響。為保護(hù)使用log4j自定義配置的用戶，我們正竭力為亞馬遜Linux1軟件包儲(chǔ)存庫(kù)制作log4j2的更新版本，并會(huì)在該版本可用時(shí)通知用戶。

Amazon

WAF/Shield

為更好地檢測(cè)和降低近來(lái)Log4j安全問(wèn)題引起的風(fēng)險(xiǎn)，我們更新了Amazon WAF服務(wù)中的Amazon Managed Rules Known BadInputs RuleSet AMR。

CloudFront、應(yīng)用程序負(fù)載均衡器(ALB)、API Gateway和AppSync的用戶現(xiàn)在即可用以下方法降低風(fēng)險(xiǎn)，通過(guò)創(chuàng)建Amazon WAF web ACL，添加Amazon Managed Rules Known BadInputs RuleSet到您的web ACL，然后將web ACL與您的CloudFront Distribution、ALB、API Gateway或AppSync GraphQL API相關(guān)聯(lián)，以檢查uri、請(qǐng)求體、常用標(biāo)頭。

請(qǐng)注意，由于Amazon WAF Classic中不提供AMR，請(qǐng)升級(jí)至(wafv2)以降低風(fēng)險(xiǎn)。

Amazon

OpenSearch

我們正在更新所有Amazon OpenSearch Service域，以使用“Log4j2”版本來(lái)解決該問(wèn)題。在更新過(guò)程中，您的域中可能會(huì)出現(xiàn)間歇性狀況。

Amazon

Lambda

Amazon Lambda在其托管運(yùn)行時(shí)或基礎(chǔ)容器映像中不包含Log4j2。因此，它們不受CVE-2021-44228中所描述問(wèn)題的影響。在工作中使用Amazon Lambda java log4j2庫(kù)的用戶需要更新到1.3.0版本并重新配置。

Amazon

CloudHSM

Amazon CloudHSM JCE SDK 3.4.1之前的版本包含受此問(wèn)題影響的Apache Log4j版本。2021年12月10日，Amazon CloudHSM發(fā)布了帶有Apache Log4j固定版本的JCE SDK v3.4.1。如果您使用的是Amazon CloudHSM JCE 3.4.1之前的版本，您可能會(huì)受到影響，應(yīng)將CloudHSM JCE SDK升級(jí)到3.4.1或更高版本來(lái)修復(fù)。