Apache log 4j2 | 亞馬遜云科技的應(yīng)對建議

亞馬遜云科技一直密切關(guān)注最近出現(xiàn)的與開源Apache“l(fā)og4j2”功能(CE4-2021-44228)有關(guān)的安全問題，并竭力為所有使用log4j2或?qū)og4j2作為部分服務(wù)提供給用戶的亞馬遜云科技服務(wù)解決這一問題。

我們強烈建議管理包含log4j2環(huán)境的用戶前往https://logging.apache.org/log4j/2.x/download.html或利用操作系統(tǒng)的軟件升級功能更新到最新版本。其他特定服務(wù)的信息如下。

Amazon

EC2

亞馬遜Linux2默認包儲存庫1.2.17-16中提供的log4j2版本在默認配置下不受此問題影響。為保護使用log4j2自定義配置的用戶，我們正竭力為亞馬遜Linux2軟件包儲存庫制作log4j2的更新版本，并會在該版本可用時通知用戶。

亞馬遜Linux1默認包儲存庫1.2.16-6中提供的log4j2版本在默認配置下不受此問題影響。為保護使用log4j自定義配置的用戶，我們正竭力為亞馬遜Linux1軟件包儲存庫制作log4j2的更新版本，并會在該版本可用時通知用戶。

Amazon

WAF/Shield

為更好地檢測和降低近來Log4j安全問題引起的風(fēng)險，我們更新了Amazon WAF服務(wù)中的Amazon Managed Rules Known BadInputs RuleSet AMR。

CloudFront、應(yīng)用程序負載均衡器(ALB)、API Gateway和AppSync的用戶現(xiàn)在即可用以下方法降低風(fēng)險，通過創(chuàng)建Amazon WAF web ACL，添加Amazon Managed Rules Known BadInputs RuleSet到您的web ACL，然后將web ACL與您的CloudFront Distribution、ALB、API Gateway或AppSync GraphQL API相關(guān)聯(lián)，以檢查uri、請求體、常用標(biāo)頭。

請注意，由于Amazon WAF Classic中不提供AMR，請升級至(wafv2)以降低風(fēng)險。

Amazon

OpenSearch

我們正在更新所有Amazon OpenSearch Service域，以使用“Log4j2”版本來解決該問題。在更新過程中，您的域中可能會出現(xiàn)間歇性狀況。

Amazon

Lambda

Amazon Lambda在其托管運行時或基礎(chǔ)容器映像中不包含Log4j2。因此，它們不受CVE-2021-44228中所描述問題的影響。在工作中使用Amazon Lambda java log4j2庫的用戶需要更新到1.3.0版本并重新配置。

Amazon

CloudHSM

Amazon CloudHSM JCE SDK 3.4.1之前的版本包含受此問題影響的Apache Log4j版本。2021年12月10日，Amazon CloudHSM發(fā)布了帶有Apache Log4j固定版本的JCE SDK v3.4.1。如果您使用的是Amazon CloudHSM JCE 3.4.1之前的版本，您可能會受到影響，應(yīng)將CloudHSM JCE SDK升級到3.4.1或更高版本來修復(fù)。