Apache log 4j2 | 亞馬遜云科技的應對建議

亞馬遜云科技一直密切關注最近出現的與開源Apache“l(fā)og4j2”功能(CE4-2021-44228)有關的安全問題，并竭力為所有使用log4j2或將log4j2作為部分服務提供給用戶的亞馬遜云科技服務解決這一問題。

我們強烈建議管理包含log4j2環(huán)境的用戶前往https://logging.apache.org/log4j/2.x/download.html或利用操作系統的軟件升級功能更新到最新版本。其他特定服務的信息如下。

Amazon

EC2

亞馬遜Linux2默認包儲存庫1.2.17-16中提供的log4j2版本在默認配置下不受此問題影響。為保護使用log4j2自定義配置的用戶，我們正竭力為亞馬遜Linux2軟件包儲存庫制作log4j2的更新版本，并會在該版本可用時通知用戶。

亞馬遜Linux1默認包儲存庫1.2.16-6中提供的log4j2版本在默認配置下不受此問題影響。為保護使用log4j自定義配置的用戶，我們正竭力為亞馬遜Linux1軟件包儲存庫制作log4j2的更新版本，并會在該版本可用時通知用戶。

Amazon

WAF/Shield

為更好地檢測和降低近來Log4j安全問題引起的風險，我們更新了Amazon WAF服務中的Amazon Managed Rules Known BadInputs RuleSet AMR。

CloudFront、應用程序負載均衡器(ALB)、API Gateway和AppSync的用戶現在即可用以下方法降低風險，通過創(chuàng)建Amazon WAF web ACL，添加Amazon Managed Rules Known BadInputs RuleSet到您的web ACL，然后將web ACL與您的CloudFront Distribution、ALB、API Gateway或AppSync GraphQL API相關聯，以檢查uri、請求體、常用標頭。

請注意，由于Amazon WAF Classic中不提供AMR，請升級至(wafv2)以降低風險。

Amazon

OpenSearch

我們正在更新所有Amazon OpenSearch Service域，以使用“Log4j2”版本來解決該問題。在更新過程中，您的域中可能會出現間歇性狀況。

Amazon

Lambda

Amazon Lambda在其托管運行時或基礎容器映像中不包含Log4j2。因此，它們不受CVE-2021-44228中所描述問題的影響。在工作中使用Amazon Lambda java log4j2庫的用戶需要更新到1.3.0版本并重新配置。

Amazon

CloudHSM

Amazon CloudHSM JCE SDK 3.4.1之前的版本包含受此問題影響的Apache Log4j版本。2021年12月10日，Amazon CloudHSM發(fā)布了帶有Apache Log4j固定版本的JCE SDK v3.4.1。如果您使用的是Amazon CloudHSM JCE 3.4.1之前的版本，您可能會受到影響，應將CloudHSM JCE SDK升級到3.4.1或更高版本來修復。