CVE-2021-44228是Log4j漏洞对AWS环境的影响
请帮忙指正,以下是我在阅读Security Bulletin时的简要笔记。截至12月18日21:00。如果有任何错误或信息已过时,请指出,谢谢。
AWS(亚马逊网络服务)的CVE-2021-44228相关信息。
Apache Log4j2 セキュリティ速報 (CVE-2021-44228)
Apache Log4j2 のセキュリティ速報 (CVE-2021-44228) の更新情報
有时候日语信息可能会有延迟。如果您选择右上角(移动浏览器则在页面底部)的语言选项中的“English”,您就可以确认原文。
有影響的事物
Amazon Kinesis は修正済みのKinesis Agentが利用可能になっている。
Amazon Kinesis Data Analytics は修正済み。利用者は、アプリケーションを日本時間2021年12月13日(月)11:30以降に起動または更新することで、UpdateApplicationでLo4jの更新済みバージョンを利用できる。
Amazon Kinesis Data Streams は修正を適用中。またKinesis Client Library (KCL) 1.xの利用者は、KCL 1.14.5以降への更新を強く推奨する。
Amazon OpenSearch はすべてのリージョンでR20211203-P2をリリースした。利用者は、OpenSearchクラスターのこのリリースへの更新が強く推奨される。
Amazon SageMaker は修正済み。利用者は、Log4J脆弱性の影響の有無にかかわらず、アプリケーションおよびサービスを再起動し既知問題修正を反映することが推奨される。なおLog4J脆弱性の影響が疑われる利用者には、Personal Health Dashboard (PHD)経由で通知が送られている
Amazon WorkSpaces は修正済み。2021年6月以前のWindows WorkSpacesの利用者は、Log4jコンポーネントを含むWorkDocs Syncクライアントが含まれており、更新が必要。
AWS CloudHSM はJCE SDKに該当版が含まれており、修正済みのJCE SDK v3.4.1を12月10日にリリースした。
AWS Greengrass (v1)および(v2)はすでにアップデートが利用可能。利用者は、Stream Managerおよび(v2)のSecure Tunnelingコンポーネントを使用している場合、最新バージョンへの更新が強く推奨される。
AWS IoT SiteWise Edge は2021年12月13日に更新されたOPC-UA collector (v2.0.3)、Data processing pack (v2.0.14)、Publisher (v2.0.2)コンポーネントがデプロイ可能になった。利用者は、これらのコンポーネントを使用している場合、SiteWise Edgeゲートウェイから最新版をデプロイすることが推奨される。
NICE EngineFrame は2020.0から2021.0-r1307までの版に影響があり、最新版への更新を推奨する。
推荐确认使用者责任范围
AWS采取责任共享模型,据我理解,用户对于资源(例如EC2实例)的使用以及所创建的应用程序和数据的管理负有责任。在上述安全公告中,也建议用户确认其责任范围。
Amacon Conect では、コンタクトフローから呼び出されるLambda関数など、サービス外のコンポーネントの評価が推奨される。
Amazon ECS では、コンテナ内で脆弱性のあるLog4j2を使用している場合、影響を緩和するホットパッチをAmazon Linuxパッケージとしてオプトインできる。Windowsコンテナの場合はMicrosoftのガイドを参照。
Amazon EKS では、コンテナ内で脆弱性のあるLog4j2を使用している場合、影響を緩和するホットパッチをDaemonSetとしてオプトインできる。Windowsコンテナの場合はMicrosoftのガイドを参照。
Amazon Elastic Map-Reduce (EMR) では、EMR5およびEMR6リリースで起動されたEMRクラスターに含まれるApache Hive、Apache Flink、HUDI、Presto、Trinoなどを使用して信頼できないソースからの処理やログ記録をしてい場合、これらは該当版数のApacheLog4jを使用するので適切な対策の適用を推奨する。
Amazon Kinesis Data Analytics では、アプリケーションを日本時間2021年12月13日(月)11:30以降に起動または更新することで、UpdateApplication APIが呼び出すLo4jについて更新済みバージョンを利用できる。
AWS Lambda では、関数でaws-lambda-java-log4j2ライブラリを使用している場合、利用者はバージョン1.4.0(Log4Jを2.16.0を使用)への更新と再デプロイが強く推奨される。なお、Log4j2の該当版数が含まれている関数にはLambda Javaマネージドランタイムとベースコンテナーイメージに影響を軽減するパッチが適用されている。
Amazon Linux 2 の一部であるAmazon Kinesis Agentは新しい版数で本脆弱性に対応している。Amazon Linuxではこのほかにホットパッチを利用できる。
Amazon Managed Workflows for Apache Airflow (MWAA) では、環境にLog4j2を追加している場合、最新バージョンへの更新が強く推奨される。
AWS Elastic Beanstalk では、アプリケーションでLog4jを追加、使用していないか確認し、対応をとることが推奨される。
AWS Fargate では、コンテナ内で脆弱性のあるLog4j2を使用している場合、影響を緩和するホットパッチをオプトインできるようになる見込み。Windowsコンテナの場合はMicrosoftのガイドを参照。
AWS Glue では、該当版数のApache Log4jカスタムjarファイルをETLジョブまたは開発エンドポイントへアップロードした場合は、最新バージョンのApache Log4jを使用するようにjarの更新が推奨される。
已修正的内容(重新启动可能会影响修正的反映等)
Amazon API Gateway は修正済み。
Amazon AppStream 2.0 は修正済み。
Amazon Cloud Directory は修正済み。
Amazon ElastiCache は修正済み。
Amazon InspectorとAmazon Inspector Classic は修正済み。
Amazon Key Spaces (for Apache Cassandra) は修正済み。
Amazon Managed Workflows for Apache Airflow (MWAA) は修正済み。
Amazon Managed Service for Kafka (MSK) は修正済み。
Amazon MQ サービスは修正済み。オープンソースのApache ActiveMQメッセージブローカーは影響を受けない。
Amazon RDS Oracle は修正済み。ほかのAmazon RDS にはLog4j2ライブラリは含まれない(更新情報V3)。 Amazon Auroraは修正を適用中。アップストリームベンダーからの指示があれば修正が適用される(更新情報V3)。
Amazon S3 は修正済み。
Amazon Simple Notification Service (SNS) は修正を適用中。
Amazon Simple Queue Service (SQS) は修正済み。
Amazon Timestream は修正済み。
AWS Directory Service は修正済み。
AWS Elastic Beanstalk はこの問題の影響を受けない。
AWS Glue は修正済み。
AWS Lake Formation は修正済み。
不受任何影响
Amazon Athena の顧客に販売されているJDBCドライバーはこの問題の影響を受けない。
Amazon Corretto は10月19日にリリースされた最新版はLog4j2を含まず影響を受けない。
Amazon EC2 は特段の影響が記されていない。責任共有モデル上、EC2インスタンスのOS内は利用者の責任範囲で利用者自身で確認が必要だと思われる。
Amazon ECR PublicとAmazon ECR は、登録されているAmazon-ownedのイメージはCVE-2021-4422の影響を受けない。
Amazon Elastic Map-Reduce (EMR) は、該当版数のLog4jを使用するApache Hive、Apache Flink、HUDI、Presto、Trinoなどのオープンソースフレームワークが含まれるが、デフォルトでは信頼できないソースからの入力を処理しないので、影響を受けない。
Amazon Elastic Load Balancing (ELB) はJavaで作成されていないため影響を受けない。
AWS Lambda は管理対象のランタイムまたはベースコンテナイメージに Log4j2 が含まれない。
Amazon MQ for RabbitMQ はこの問題の影響を受けない。
Amazon Neptune はこの問題の影響を受けない。
AWS SDK はlogging facade(Simple Logging Facade for Javaのこと?)を使っており、Log4Jへのランタイム依存はない。修正不要だと認識している。
另外
-
- 以下のサービスが、本脆弱性による問題の軽減のために更新(update to mitigate the issue)されている。
Amazon AppFlow
Amazon Athena
Amazon ChimeとAmazon Chime SDK
Amazon CloudFront
Amazon CloudWatch
Amazon Connect
Amazon Cognito
Amazon DocumentDB
Amazon DynamoDBおよびAmazon DynamoDB Accelerator (DAX)
Amazon Elastic Load Balancing
Amazon EventBridge
Amazon Fraud Detector
Amazon Kendra
Amazon Lex
Amazon Lookout for Equipment
Amazon Macie
Amazon Macie Classic
Amazon Monitron
Amazon Neptune (クラスターは自動的に更新される)
Amazon Pinpoint
Amazon Polly
Amazon QuickSight
Amazon RDSとAmazon Aurora
Amazon Redshift (クラスターは自動的に更新される)
Amazon Rekognition
Amazon Route53
Amazon Simple Workflow Service (SWF)
Amazon Single Sign-On
Amazon VPC(Internet GatewayとVirtual Gatewayを含む)
AWS AppSync
AWS Certificate ManagerとACM Private CA
AWS CodePipeline
AWS CodeBuild
AWS Key Management Service (KMS)
AWS Secrets Manager
AWS Service Catalog
AWS Step Functions
AWS Systems Manager
AWS Textract
Log4j脆弱性問題への対応に役だつAWSサービスが以下にまとめられている。
Log4j 脆弱性に対する AWS セキュリティサービスを利用した保護、検知、対応 | Amazon Web Services ブログ / 原文
Apache Log4jの脆弱性(CVE-2021-44228)に関連して、Correttoチームからホットパッチが出ている。
Open source hotpatch for Apache Log4j vulnerability | AWS Security Blog
请依照下面的指导进行操作。
Apache Log4j2 セキュリティ速報 (CVE-2021-44228)
Apache Log4j2 のセキュリティ速報 (CVE-2021-44228) の更新情報
Open source hotpatch for Apache Log4j vulnerability | AWS Security Blog
Log4j 脆弱性に対する AWS セキュリティサービスを利用した保護、検知、対応 | Amazon Web Services ブログ / 原文
对于CVE-2021-44228,以下是相关内容。
-
- Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
- Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた – piyolog
尽管有些冗长,但Azure、GCP和VMware是相关的领域。
-
- Azure: CVE-2021-44228 Apache Log4j 2 に対するマイクロソフトの対応 – Microsoft Security Response Center / 原文
GCP: Apache Log4j 2 Vulnerability Security Advisory | Google Cloud
VMware: VMware Response to Apache Log4j Remote Code Execution Vulnerability (CVE-2021-44228) / 関連公式ブログ
该页面内容是笔者为了方便参考而整理的个人备忘录,并不保证其内容的准确性。同时,与笔者所属组织等没有任何关联。