AWS connaît les problèmes récemment rapportés concernant l'outil open source Apache « Log4j2 » (CVE-2021-44228 et CVE-2021-45046).

En trouvant une solution aux problèmes de sécurité comme celui-ci, nous montrons l'intérêt de disposer de plusieurs couches de technologies défensives, ce qui est très important pour assurer la sécurité des données et des charges de travail de nos clients.

Nous avons accordé une attention particulière à ce problème et notre équipe d'ingénieurs de renommée mondiale a déployé le correctif Java développé par Amazon et disponible ici pour tous les services AWS. Le correctif met à jour la machine virtuelle Java pour désactiver le chargement de la classe Java Naming and Directory Interface (JNDI), notamment en la remplaçant par un message de notification inoffensif, ce qui atténue CVE-2021-44228 et CVE-2021-45046.  Nous allons bientôt achever le déploiement de la bibliothèque Log4j mise à jour dans tous nos services.  Vous trouverez des informations supplémentaires sur le correctif Java sur la page suivante :https://thinkwithwp.com/blogs/security/open-source-hotpatch-for-apache-log4j-vulnerability/.

Même avec le déploiement de ce correctif, les clients doivent déployer une bibliothèque Log4j mise à jour aussi rapidement que possible, comme nous le faisons sur AWS.

Pour plus de détails sur la manière de détecter et de remédier aux CVE de Log4j en utilisant les services AWS, veuillez lire notre plus récent billet de blog en cliquant ici.

Aucune autre mise à jour spécifique au service n'est requise après ce bulletin final.

Pour plus d'informations ou pour une assistance, veuillez contacter AWS Support.

Amazon Connect

Amazon Connect a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Nous recommandons aux clients d'évaluer les composants de leur environnement qui se trouvent en dehors de la limite du service Amazon Connect (comme les fonctions Lambda appelées à partir des flux de contacts) qui peuvent nécessiter des mesures d'atténuation distinctes/supplémentaires de la part du client.

Amazon Chime

Les services du kit SDK Amazon Chime ont été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228 et CVE-2021-45046.

Les services Amazon Chime ont été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228 et CVE-2021-45046.

Amazon EMR

CVE-2021-44228 affecte les versions d'Apache Log4j comprises entre 2.0 et 2.14.1 lors du traitement d'entrées provenant de sources non fiables. Les clusters EMR lancés avec les versions EMR 5 et EMR 6 comprennent des cadres open source, comme Apache Hive, Apache Flink, HUDI, Presto et Trino, qui utilisent ces versions d'Apache Log4j. Lorsque vous lancez un cluster avec la configuration par défaut d'EMR, il ne traite pas les entrées provenant de sources non fiables. De nombreux clients utilisent les cadres open source installés sur leurs clusters EMR pour traiter et journaliser les entrées provenant de sources non fiables. Par conséquent, AWS vous recommande d'appliquer la solution décrite ici.

Amazon Fraud Detector

Les services Amazon Fraud Detector ont été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon Kendra

Amazon Kendra a été mis à jour afin d'atténuer le problème CVE-2021-44228.

Amazon Lex

Amazon Lex a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon Lookout for Equipment

Amazon Lookout for Equipment a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon Macie

Le service Amazon Macie a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon Macie Classic

Le service Amazon Macie Classic a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon Monitron

Amazon Monitron a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon RDS

Les services Amazon RDS et Amazon Aurora ont été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon Rekognition

Les services Amazon Rekognition ont été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon VPC

Amazon VPC, y compris les services de passerelle Internet et passerelle virtuelle, ont été mis à jour afin d'atténuer le problème Log4j référencé dans CVE-2021-44228.

AWS AppSync

AWS AppSync a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228 et CVE-2021-45046.

AWS Certificate Manager

Les services AWS Certificate Manager ont été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Les services ACM Private CA ont été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

AWS Service Catalog

AWS Service Catalog a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

AWS Systems Manager

Le service AWS Systems Manager a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228. Ce problème ne touche pas le Systems Manager agent proprement dit.

AWS connaît les problèmes récemment rapportés concernant l'outil open source Apache « Log4j2 » (CVE-2021-44228 et CVE-2021-45046).

En trouvant une solution aux problèmes de sécurité comme celui-ci, nous montrons l'intérêt de disposer de plusieurs couches de technologies défensives, ce qui est très important pour assurer la sécurité des données et des charges de travail de nos clients. Nous accordons une attention toute particulière à ce problème et notre équipe d'ingénieurs de renommée mondiale travaille 24 heures sur 24 pour y remédier. Nous espérons rétablir rapidement notre système de défense dans son intégralité.

L'une des technologies que nous avons conçues et déployées à grande échelle au sein d'AWS est un correctif pour les applications qui peuvent inclure Log4j. Ce correctif met à jour la machine virtuelle Java pour désactiver le chargement de la classe Java Naming and Directory Interface (JNDI), en la remplaçant par un message de notification inoffensif, ce qui atténue efficacement CVE-2021-44228 et CVE-2021-45046.

Nous l'avons également rendu disponible en tant que solution open-source que vous trouverez ici.

Même avec le déploiement de ce correctif, les clients doivent déployer une bibliothèque Log4j mise à jour aussi rapidement que possible.

Pour plus de détails sur la manière de détecter et de remédier aux CVE de Log4j en utilisant les services AWS, veuillez lire notre plus récent billet de blog en cliquant ici.

Des informations supplémentaires propres aux services sont disponibles ci-dessous. Pour plus d'informations ou pour une assistance, veuillez contacter AWS Support.

Amazon EKS, Amazon ECS et AWS Fargate

Pour aider à atténuer l'impact des problèmes de sécurité de l'outil open-source Apache « Log4j2 » (CVE-2021-44228 et CVE-2021-45046) sur les conteneurs des clients, Amazon EKS, Amazon ECS et AWS Fargate déploient une mise à jour basée sur Linux (hot-patch). Ce correctif requiert l'accord du client pour être utilisé et désactive les recherches JNDI de la bibliothèque Log4J2 dans les conteneurs des clients. Ces mises à jour sont disponibles sous forme de package Amazon Linux pour les clients d'Amazon ECS, sous forme de DaemonSet pour les utilisateurs de Kubernetes sur AWS, et seront dans les versions prises en charge de la plateforme AWS Fargate.

Les clients qui utilisent des applications Java sur des conteneurs Windows sont invités à suivre les conseils de Microsoft disponibles ici.

Amazon ECR Public et Amazon ECR

Les images appartenant à Amazon publiées sous un compte vérifié sur Amazon ECR Public ne sont pas affectées par le problème décrit dans CVE-2021-4422. Pour ce qui est des images appartenant aux clients sur Amazon ECR, AWS offre une analyse améliorée avec Amazon Inspector, qui est conçue pour analyser en permanence les images de conteneurs afin de détecter les problèmes de sécurité connus, notamment les images de conteneurs contenant CVE-2021-44228. Les résultats sont présentés dans les consoles Inspector et ECR. Inspector comprend une version d'essai gratuite de 15 jours avec analyse gratuite des images de conteneurs pour les nouveaux comptes. Les clients qui utilisent des images provenant d'éditeurs tiers dans ECR Public peuvent utiliser la fonction Pull Through Cache récemment lancée dans ECR pour copier ces images depuis ECR Public dans leur registre ECR et utiliser la fonction d'analyse Inspector pour détecter les problèmes de sécurité.

Amazon Cognito

Les services Amazon Cognito ont été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon Pinpoint

Les services Amazon Pinpoint ont été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon EventBridge

Amazon EventBridge a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Elastic Load Balancing

Les services Elastic Load Balancing ont été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228. Les équilibreurs Elastic Load Balancer, ainsi que Classic, Application, Network et Passerelle, ne sont pas écrits en langage Java. Par conséquent, ils n'ont pas été affectés par ce problème.

AWS CodePipeline


AWS CodePipeline a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228 et CVE-2021-45046.

AWS CodeBuild

AWS CodeBuild a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228 et CVE-2021-45046.

Amazon Route 53


Route 53 a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon Linux


Amazon Linux 1 (AL1) et Amazon Linux 2 (AL2) utilisent par défaut une version de log4j qui n'est pas affectée par CVE-2021-44228 ou CVE-2021-45046. Une nouvelle version de l'agent Amazon Kinesis qui fait partie d'AL2 corrige CVE-2021-44228 et CVE-2021-45046. De plus, pour aider les clients qui apportent leur propre code log4j, Amazon Linux a publié un nouveau paquet qui inclut le Hotpatch pour Apache log4j. Pour en savoir plus, cliquez ici.

Amazon SageMaker

Amazon SageMaker a terminé la mise en place des correctifs pour le problème Apache Log4j2 (CVE-2021-44228) le 15 décembre 2021.

Nous continuons de recommander à nos clients de prendre des mesures pour mettre à jour toutes leurs applications et services en appliquant des correctifs pour les problèmes connus comme celui-ci. Les clients à qui il est recommandé de prendre des mesures à ce sujet ont reçu des instructions détaillées via PHD. Même si vous n'êtes pas affecté par le problème Log4j, nous vous recommandons de redémarrer votre tâche ou de mettre à jour votre application pour utiliser la dernière version de notre logiciel.

Amazon Athena

Amazon Athena a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228. Toutes les versions du pilote JDBC d'Amazon Athena distribuées aux clients n'ont pas été affectées par ce problème.

AWS Certificate Manager

Les services AWS Certificate Manager ont été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Les services ACM Private CA ont été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon AppFlow

Amazon AppFlow a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon Polly

Amazon Polly a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon QuickSight

Amazon QuickSight a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

AWS Textract

Les services AWS Textract ont été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon Corretto

La dernière version d'Amazon Corretto publiée le 19 octobre n'est pas affectée par CVE-2021-44228 étant donné que la distribution Corretto n'inclut pas Log4j. Nous recommandons aux clients de mettre à jour la dernière version de Log4j dans toutes leurs applications qui l'utilisent, y compris les dépendances directes, les dépendances indirectes et les jars masqués.
 

AWS est au courant du problème de sécurité récemment publié, concernant l'outil open source Apache « Log4j2 » (CVE-2021-44228).

En trouvant une solution aux problèmes de sécurité comme celui-ci, nous montrons l'intérêt de disposer de plusieurs couches de technologies défensives, ce qui est très important pour assurer la sécurité des données et des charges de travail de nos clients. Nous accordons une attention toute particulière à ce problème et notre équipe d'ingénieurs de renommée mondiale travaille 24 heures sur 24 pour y remédier. Nous espérons rétablir rapidement notre système de défense dans son intégralité.

L'une des technologies que nous avons conçues et déployées est un correctif pour les applications qui peuvent inclure Log4j. Nous l'avons également rendu disponible en tant que solution open-source que vous trouverez ici.

Même avec le déploiement de ce correctif, les clients doivent prévoir de déployer une bibliothèque Log4j mise à jour aussi rapidement que possible.

Des informations supplémentaires propres aux services sont disponibles ci-dessous. Pour plus d'informations ou pour une assistance, veuillez contacter AWS Support.

Amazon Kinesis

Une nouvelle version de l'agent Kinesis, qui résout le problème de la bibliothèque Apache Log4j2 récemment divulgué (CVE-2021-44228), est disponible ici.

Amazon Inspector

Le service Amazon Inspector ne peut être affecté par le problème de Log4j.

Le service Inspector permet de détecter les problèmes liés à CVE-2021-44228 (Log4Shell) dans les charges de travail EC2 et les images ECR des clients. Des détections sont actuellement disponibles pour les paquets impactés au niveau du système d'exploitation sous Linux. Il s'agit, entre autres, de apache-log4j2 et liblog4j2-java pour Debian ; log4j, log4jmanual et log4j12 pour SUSE ; et Elasticsearch pour Alpine, Centos, Debian, Red Hat, SUSE et Ubuntu. D'autres détections seront ajoutées au fur et à mesure que d'autres impacts seront identifiés par les équipes de sécurité de distribution respectives. Inspector décompose les archives Java stockées dans les images ECR et génère des résultats pour les paquets ou les applications impactés. Ces résultats seront identifiés dans la console Inspector sous « CVE-2021-44228 » ou « IN1-JAVA-ORGAPACHELOGGINGLOG4J-2314720 - org.apache.logging.log4j:log4j-core ».

Amazon Inspector Classic

Le service Amazon Inspector ne peut être affecté par le problème de Log4j.

Le service Inspector Classic permet de détecter les problèmes liés à CVE-2021-44228 (Log4Shell) dans les charges de travail EC2 des clients. Des détections de CVE-2021-44228 (Log4Shell) sont actuellement disponibles pour les paquets impactés au niveau du système d'exploitation sous Linux. Il s'agit, entre autres, de apache-log4j2 et liblog4j2-java pour Debian ; log4j, log4jmanual et log4j12 pour SUSE ; et Elasticsearch pour Alpine, Centos, Debian, Red Hat, SUSE et Ubuntu.

Amazon WorkSpaces/AppStream 2.0

Amazon WorkSpaces et AppStream 2.0 ne sont pas affectés par CVE-2021-44228 lorsqu'ils sont configurés par défaut. Les images Amazon Linux 2 par défaut de WorkSpaces et AppStream ne contiennent pas Log4j, et les versions de Log4j disponibles dans les dépôts de paquets par défaut d'Amazon Linux 2 ne sont pas affectées par CVE-2021-44228. Toutefois, si vous avez déployé le client WorkDocs Sync sur des WorkSpaces Windows, veuillez adopter les mesures recommandées ci-dessous.

Les WorkSpaces Windows n'ont pas de WorkDocs Sync installé par défaut. Cependant, avant juin 2021, WorkSpaces disposait d'un raccourci par défaut sur le bureau vers le programme d'installation du client WorkDocs Sync. Le client WorkDocs Sync version 1.2.895.1 (et antérieures) contient le composant Log4j. Si vous avez déployé les anciennes versions du client WorkDocs Sync sur WorkSpaces, veuillez redémarrer le client Sync sur WorkSpaces via des outils de gestion comme SCCM, ou demandez à vos utilisateurs de WorkSpaces d'ouvrir manuellement le client Sync – « Amazon WorkDocs » dans la liste des programmes installés. Au lancement, le client Sync est automatiquement mis à jour vers la dernière version 1.2.905.1 qui n'est pas affectée par CVE-2021-44228. Les applications Workdocs Drive et Workdocs Companion ne sont pas concernées par ce problème.

Amazon Timestream

Amazon Timestream a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon DocumentDB

Depuis le 13 décembre 2021, des correctifs ont été appliqués à Amazon DocumentDB afin d'atténuer le problème Log4j référencé dans CVE-2021-44228.

Amazon CloudWatch

Les services Amazon CloudWatch ont été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

AWS Secrets Manager

AWS Secrets Manager a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon Single Sign-On

Les services Amazon Single Sign-On ont été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon RDS Oracle

Amazon RDS Oracle a mis à jour la version de Log4j2 utilisée dans le service. L'accès aux instances RDS continue d'être limité par vos VPC et d'autres contrôles de sécurité tels que les groupes de sécurité et les listes de contrôle d'accès au réseau (ACL). Nous vous encourageons vivement à modifier ces paramètres de manière à garantir une bonne gestion de l'accès à vos instances RDS.

Comme indiqué dans le document Oracle Support 2827611.1, la base de données Oracle elle-même n'est pas affectée par ce problème.

Amazon Cloud Directory

Amazon Cloud Directory a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon Simple Queue Service (SQS)

Amazon Simple Queue Service (SQS) a appliqué des correctifs au problème Apache Log4j2 (CVE-2021-44228) pour les entrées et les sorties de données de SQS le 13 décembre 2021. Nous avons également appliqué des correctifs pour tous les autres systèmes SQS qui utilisaient Log4j2.

AWS KMS

AWS KMS a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon Redshift

Les clusters Amazon Redshift ont été mis à jour automatiquement afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

AWS Lambda

AWS Lambda n'inclut pas Log4j2 dans ses exécutions gérées ni ses images de conteneurs de base. Ces éléments ne sont dont pas affectés par le problème décrit dans CVE-2021-44228 et CVE-2021-45046.

Pour les cas où une fonction client comprend une version de Log4j2 affectée, nous avons appliqué un changement aux moteurs d'exécution gérés par Lambda Java et aux images de conteneur de base (Java 8, Java 8 sur AL2 et Java 11) qui contribue à atténuer les problèmes CVE-2021-44228 et CVE-2021-45046. Les clients utilisant des exécutions gérées verront cette modification appliquée automatiquement. Les clients utilisant des images de conteneur devront reconstruire à partir de la dernière image de conteneur de base, et redéployer.

En dépit de cette modification, nous encourageons vivement tous les clients dont les fonctions incluent Log4j2 à effectuer une mise à jour vers la dernière version. En effet, les clients qui utilisent labibliothèque aws-lambda-java-log4j2 dans leurs fonctions devraient effectuer une mise à jour vers la version 1.4.0 et redéployer leurs fonctions. Cette version met à jour les services sous-jacents de Log4j2 vers la version 2.16.0. Le binaire aws-lambda-java-log4j2 mis à jour est disponible dans le répertoire Maven et son code source est disponible sur Github.

AWS est au courant du problème de sécurité récemment publié, concernant l'outil open source Apache « Log4j2 » (CVE-2021-44228).

En trouvant une solution aux problèmes de sécurité comme celui-ci, nous montrons l'intérêt de disposer de plusieurs couches de technologies défensives, ce qui est très important pour assurer la sécurité des données et des charges de travail de nos clients. Nous accordons une attention toute particulière à ce problème et notre équipe d'ingénieurs de renommée mondiale travaille 24 heures sur 24 pour y remédier. Nous espérons rétablir rapidement notre système de défense dans son intégralité.

Nous continuons de recommander à nos clients de prendre des mesures pour mettre à jour toutes leurs applications et services en appliquant des correctifs pour les problèmes connus comme celui-ci et de continuer à appliquer nos conseils bien conçus.

Des informations supplémentaires propres aux services sont disponibles ci-dessous. Pour plus d'informations ou pour une assistance, veuillez contacter AWS Support.

Amazon API Gateway

Depuis le 13 décembre 2021, des correctifs ont été appliqués à tous les hôtes d'Amazon API Gateway afin d'atténuer le problème Log4j référencé dans CVE-2021-44228.

Amazon CloudFront

Les services Amazon CloudFront ont été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228. Les services de traitement des demandes CloudFront qui sont exécutés dans nos POP ne sont pas écrits en Java. Ils ne sont donc pas affectés par ce problème.

Amazon Connect

Les services Amazon Connect ont été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon DynamoDB

Amazon DynamoDB et Amazon DynamoDB Accelerator (DAX) ont été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon EC2

Les versions de Log4j disponibles dans les référentiels Amazon Linux 1 et Amazon Linux 2 ne sont pas affectées par CVE-2021-44228. Pour plus d'informations sur les mises à jour logicielles relatives à la sécurité pour Amazon Linux, consultez le Centre de sécurité d'Amazon Linux.

Amazon ElastiCache

Le moteur Redis d'Amazon ElastiCache n'inclut pas Log4j2 dans ses exécutions gérées ni ses images de conteneurs de base. Amazon ElastiCache a terminé la mise en place des correctifs pour le problème Apache Log4j2 (CVE-2021-44228) le 12 décembre 2021.

Amazon EMR

CVE-2021-44228 affecte les versions d'Apache Log4j comprises entre 2.0 et 2.14.1 lors du traitement d'entrées provenant de sources non fiables. Les clusters EMR lancés avec les versions EMR 5 et EMR 6 comprennent des cadres open source, comme Apache Hive, Apache Flink, HUDI, Presto et Trino, qui utilisent ces versions d'Apache Log4j. Lorsque vous lancez un cluster avec la configuration par défaut d'EMR, il ne traite pas les entrées provenant de sources non fiables.

Nous travaillons activement à la création d'une mise à jour qui résout le problème évoqué dans CVE-2021-44228 lorsque des cadres open source installés sur votre cluster EMR traitent des informations provenant de sources non fiables.

AWS IoT SiteWise Edge

Les mises à jour pour tous les composants AWS IoT SiteWise Edge qui utilisent Log4j ont été rendues disponibles pour le déploiement le 13/12/2021. Il s'agit des composants suivants : Le collecteur OPC-UA (v2.0.3), le pack de traitement des données (v2.0.14) et le Publisher (v2.0.2). AWS conseille aux clients qui utilisent ces composants de déployer les dernières versions sur leurs passerelles SiteWise Edge.

Amazon Keyspaces (pour Apache Cassandra)

Amazon Keyspaces (pour Apache Cassandra) a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon Kinesis Data Analytics

Les versions d'Apache Flink prises en charge par Amazon Kinesis Data Analytics comprennent des versions d'Apache Log4j comprises entre la version 2.0 et la version 2.14.1. Les applications d'analytique des données Kinesis fonctionnent dans un environnement isolé à utilisateur unique, et ne peuvent interagir les unes avec les autres.

Nous actualisons la version de Log4j disponible pour les applications Kinesis Data Analytics des clients dans toutes les régions AWS. Les applications démarrées ou mises à jour après 18 h 30 PST le 12/12/2021 recevrons automatiquement le correctif mis à jour. Les clients dont les applications ont été démarrées ou mises à jour avant cela peuvent vérifier que leurs applications utilisent la version mise à jour de Log4j en appelant l'API UpdateApplication d'analytique des données Kinesis. De plus amples informations sur l'API UpdateApplication sont disponibles dans la documentation du service.

Amazon Kinesis Data Streams

Nous appliquons activement des correctifs à tous les sous-systèmes qui utilisent Log4j2 en appliquant des mises à jour. La Kinesis Client Library (KCL) version 2.X et la Kinesis Producer Library (KPL) ne sont pas concernées. Pour les clients qui utilisent la version 1.x de KCL, nous avons publié une version mise à jour et nous recommandons vivement à tous les clients de la version 1.x de KCL d'effectuer une mise à niveau vers la version 1.14.5 (ou ultérieure) de KCL, disponible ici.

Amazon Managed Streaming for Apache Kafka (MSK)

Nous sommes au courant du problème récemment divulgué (CVE-2021-44228) concernant la bibliothèque Apache Log4j2, et applique les mises à jour nécessaires. Veuillez noter que les outils de génération d'Apache Kafka et d'Apache Zookeeper offerts dans MSK utilisent actuellement la version Log4j 1.2.17, qui n'est pas concernée par ce problème. Certains composants de service spécifiques à MSK utilisent la bibliothèque Log4j, version supérieure à 2.0.0, et font l'objet de correctifs si nécessaire.

Amazon Managed Workflows for Apache Airflow (MWAA)

MWAA a deux champs de considération concernant le problème récemment divulgué (CVE-2021-44228) relatif à la bibliothèque Apache Log4j2 : le code de service Amazon MWAA (spécifique à AWS) et le code open source (Apache Airflow).

Depuis le 14 décembre 2021, nous avons effectué toutes les mises à jour requises du code de service MWAA afin d'atténuer ce problème. Apache Airflow n'utilise pas Log4j2 et n'est pas concerné par ce problème.

Nous encourageons vivement les clients qui ont ajouté Log4j2 à leurs environnements à mettre à jour vers la dernière version.

Amazon MemoryDB for Redis

Amazon MemoryDB for Redis a terminé la mise en place des correctifs pour le problème Apache Log4j2 (CVE-2021-44228) le 12 décembre 2021.

Amazon MQ

Amazon MQ a deux champs de considération concernant le problème récemment divulgué (CVE-2021-44228) relatif à la bibliothèque Apache Log4j2 : le code de service Amazon MQ (spécifique à AWS) et le code open source (agents de messagerie d'Apache ActiveMQ et de RabbitMQ).

Depuis le 13 décembre 2021, nous avons effectué toutes les mises à jour requises du code de service Amazon MQ afin de résoudre ce problème.
La mise à jour des agents de messagerie open source n'est pas nécessaire. Toutes les versions d'Apache ActiveMQ proposées dans Amazon MQ utilisent Log4j version 1.2.x, qui n'est pas concernée par ce problème. RabbitMQ n'utilise pas Log4j et n'est pas concerné par ce problème.

Amazon Neptune

Les clusters Amazon Neptune ont été mis à jour automatiquement afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

Amazon OpenSearch Service

Amazon OpenSearch Service a publié une mise à jour logicielle de service importante, R20211203-P2, qui contient une version mise à jour de Log4j2 dans toutes les régions. Nous recommandons fortement aux clients de mettre à jour leurs clusters OpenSearch vers cette version dès que possible.

Amazon RDS

Amazon RDS et Amazon Aurora traitent activement toutes les utilisations de services de Log4j2 en appliquant des mises à jour. Les moteurs de bases de données relationnelles créés par RDS n'incluent pas la bibliothèque Apache Log4j2. En cas d'implication de fournisseurs en amont, nous appliquons les mesures d'atténuation qu'ils recommandent. Il se peut que les clients puissent observer des événements intermittents pendant la mise à jour des composants internes.

Amazon S3

Le 11 décembre 2021, Amazon S3 a appliqué des correctifs au problème Apache Log4j2 (CVE-2021-44228) pour les entrées et les sorties de données de S3. Nous avons également appliqué des correctifs pour tous les autres systèmes S3 qui utilisaient Log4j2.

Amazon Simple Notification Service (SNS)

Les systèmes Amazon SNS qui servent le trafic client sont protégés contre le problème Log4j2. Nous travaillons à l'application du correctif Log4j2 aux sous-systèmes qui fonctionnent séparément des systèmes de SNS qui servent le trafic des clients.

Amazon Simple Workflow Service (SWF)

Amazon Simple Workflow Service (SWF) a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

AWS CloudHSM

Les versions du kit SDK JCE AWS CloudHSM antérieures à 3.4.1 incluent une version d'Apache Log4j affectée par ce problème. Le 10 décembre 2021, CloudHSM a publié le kit SDK JCE v3.4.1 avec une version fixe d'Apache Log4j. Si vous utilisez des versions JCE CloudHSM inférieures à la version 3.4.1, vous pourriez être affecté par ce problème. Vous devez l'atténuer en mettant à niveau le kit SDK JCE CloudHSM vers la version 3.4.1 ou une version supérieure.

AWS Elastic Beanstalk

AWS Elastic Beanstalk installe Log4j à partir des référentiels de packages par défaut d'Amazon Linux dans ses plateformes Tomcat pour Amazon Linux 1 et Amazon Linux 2. Les versions de Log4j disponibles dans les référentiels Amazon Linux 1 et Amazon Linux 2 ne sont pas affectées par CVE-2021-44228.

Si vous avez effectué des changements de configuration dans l'utilisation de Log4j pour votre application, nous vous recommandons de prendre des mesures pour mettre à jour le code de votre application afin de résoudre ce problème.

Suivant nos pratiques habituelles, si des versions corrigées de ces référentiels de packages par défaut sont publiées, Elastic Beanstalk inclut la version corrigée dans la prochaine version de la plateforme Tomcat pour Amazon Linux 1 et Amazon Linux 2.

Pour plus d'informations sur les mises à jour logicielles relatives à la sécurité pour Amazon Linux, consultez le Centre de sécurité d'Amazon Linux.

AWS Glue

AWS Glue est au courant du problème de sécurité récemment divulgué concernant l'outil open source Apache « Log4j2 » (CVE-2021-44228). Nous avons mis à jour notre flotte de plans de contrôle qui sert les API AWS Glue pour toutes les versions Glue prises en charge.

AWS Glue crée un environnement Spark qui est isolé au niveau du réseau et de la gestion de tous les autres environnements Spark dans le compte de service AWS Glue. Vos tâches ETL sont exécutées sur un environnement à utilisateur unique. Si vous avez chargé un fichier jar personnalisé pour l'utiliser dans vos tâches ETL ou vos point de terminaison de développement, qui comprend une version spécifique d'Apache Log4j, nous vous conseillons de mettre à jour votre jar pour utiliser la dernière version d'Apache Log4j.

AWS Glue applique de manière proactive les mises à jour aux nouveaux environnements Spark dans toutes les régions prises en charge. Si vous avez des questions ou si vous souhaitez obtenir une assistance supplémentaire, veuillez contacter AWS Support.

AWS Greengrass

Les mises à jour pour tous les composants d'AWS Greengrass V2 qui utilisent Log4j sont disponibles pour le déploiement depuis le 10/12/2021. Ces composants sont : Stream Manager (2.0.14) et Secure Tunneling (1.0.6). AWS conseille aux clients qui utilisent ces composants Greengrass de déployer les dernières versions sur leurs appareils.

La fonction Stream Manager de Greengrass versions 1.10.x et 1.11.x utilise Log4j. La mise à jour de la fonction Stream Manager est incluse dans les versions 1.10.5 et 1.11.5 du correctif Greengrass, qui sont toutes deux disponibles à partir du 12/12/2021. Nous recommandons vivement aux clients qui utilisent les versions 1.10.x et 1.11.x et qui ont activé Stream Manager sur leurs appareils (ou qui pourraient l'activer à l'avenir) de mettre à jour leurs appareils vers les versions les plus récentes.

AWS Lake Formation

Les hôtes du service AWS Lake Formation sont mis à jour vers la dernière version de Log4j afin d'atténuer le problème avec les versions référencées dans CVE-2021-44228.

AWS Lambda

AWS Lambda n'inclut pas Log4j2 dans ses exécutions gérées ni ses images de conteneurs de base. Ces éléments ne sont dont pas affectés par le problème décrit dans CVE-2021-44228. Les clients qui utilisent la bibliothèque aws-lambda-java-log4j2 dans leurs fonctions doivent effectuer une mise à jour vers la version 1.3.0 et la redéployer.

AWS SDK

Le kit AWS SDK pour Java utilise une façade de journalisation et n'a pas de dépendance d'exécution par rapport à Log4j. À l'heure actuelle, nous ne pensons pas qu'il soit nécessaire d'apporter des modifications au kit AWS SDK pour Java concernant ce problème.

AWS Step Functions

AWS Step Functions a été mis à jour afin d'atténuer les problèmes identifiés dans CVE-2021-44228.

AWS Web Application Firewall (WAF)

Afin d'améliorer la détection et la réduction des risques liés au récent problème de sécurité de Log4j, les clients de CloudFront, Application Load Balancer (ALB), API Gateway et AppSync peuvent activer AWS WAF et appliquer deux règles gérées par AWS (AMR) : AWSManagedRulesKnownBadInputsRuleSet et AWSManagedRulesAnonymousIpList.

L'ensemble de règles AWSManagedRulesKnownBadInputsRuleSet inspecte l'uri, le corps et les en-têtes couramment utilisés des requêtes, tandis que l'ensemble de règles AWSManagedRulesAnonymousIpList permet de bloquer les requêtes provenant de services qui permettent de masquer l'identité du spectateur. Vous pouvez appliquer ces règles en créant une liste ACL web AWS WAF, en ajoutant l'un ou les deux jeux de règles à votre ACL web, puis en associant la liste ACL web à vos API de distribution CloudFront, ALB, API Gateway ou AppSync GraphQL.

Nous continuons à actualiser le groupe de règles AWSManagedRulesKnownBadInputsRuleSet au fur et à mesure que nous en apprenons davantage. Pour recevoir des mises à jour automatiques de l'ensemble de règles AWSManagedRulesKnownBadInputsRuleSet, veuillez choisir la version par défaut. Les clients qui utilisent AWS WAF Classic devront migrer vers AWS WAF ou créer des conditions de correspondance regex personnalisées. Les clients peuvent utiliser AWS Firewall Manager pour configurer les règles AWS WAF sur plusieurs comptes et ressources AWS à partir d'un seul endroit. Vous pouvez regrouper les règles, créer des stratégies et appliquer de manière centralisée ces stratégies à l'ensemble de votre infrastructure.

NICE

En raison d'une CVE dans la bibliothèque Apache Log4j incluse dans EnginFrame de la version 2020.0 à la version 2021.0-r1307, NICE vous recommande de passer à la version la plus récente d'EnginFrame, ou de mettre à jour la bibliothèque Log4j dans votre installation EnginFrame en suivant les instructions du site web de support.

N'hésitez pas à nous contacter.

AWS est au courant du problème de sécurité récemment publié, concernant l'outil open source Apache « Log4j2 » (CVE-2021-44228). Nous surveillons activement ce problème, et nous travaillons à le résoudre pour tous les services AWS qui utilisent l'outil Log4j2 ou qui le fournissent aux clients dans le cadre de leur service.

Nous encourageons vivement les clients qui gèrent des environnements comportant l'utilitaire Log4j2 à effectuer la mise à jour vers la version la plus récente, ou à mettre à jour le mécanisme de mise à jour logicielle de leur système d'exploitation. Des informations supplémentaires spécifiques aux services sont disponibles ci-dessous.

Pour plus d'informations ou de l'aide, veuillez contacter AWS Support.

S3

Le 11 décembre 2021, S3 a appliqué des correctifs au problème Apache Log4j2 (CVE-2021-44228) pour les entrées et les sorties de données de S3. Nous avons également appliqué des correctifs pour tous les autres systèmes S3 qui utilisaient Log4j2.

Amazon OpenSearch

Amazon OpenSearch Service déploie une mise à jour du logiciel de service, version R20211203-P2, qui contient une version mise à jour de Log4j2. Nous informerons les clients dès que la mise à jour sera disponible dans leurs régions respectives, et nous mettrons à jour ce bulletin dès que la mise à jour sera disponible dans le monde entier.

AWS Lambda

AWS Lambda n'inclut pas Log4j2 dans ses exécutions gérées ni ses images de conteneurs de base. Par conséquent, elles ne sont pas affectées par le problème décrit dans CVE-2021-44228. Les clients qui utilisent la bibliothèque aws-lambda-java-log4j2 dans leurs fonctions doivent effectuer une mise à jour vers la version 1.3.0 et la redéployer.

AWS CloudHSM

Les versions du kit SDK JCE CloudHSM antérieures à 3.4.1 incluent une version d'Apache Log4j affectée par ce problème. Le 10 décembre 2021, CloudHSM a lancé le kit SDK JCE v3.4.1 avec une version corrigée d'Apache Log4j. Si vous utilisez des versions JCE CloudHSM inférieures à la version 3.4.1, vous pourriez être affecté par ce problème. Vous devez le résoudre en mettant à niveau le kit SDK JCE CloudHSM vers la version 3.4.1 ou une version supérieure.

Amazon EC2

Les versions de Log4j disponibles dans les référentiels Amazon Linux 1 et Amazon Linux 2 ne sont pas affectées par CVE-2021-44228. Pour plus d'informations sur les mises à jour logicielles relatives à la sécurité pour Amazon Linux, consultez le Centre de sécurité d'Amazon Linux

API Gateway

Nous mettons à jour API Gateway afin d'utiliser une version de Log4j2 qui résout le problème. Pendant ces mises à jour, vous pourriez observer des augmentations périodiques de la latence pour certaines API.

AWS Greengrass

Les mises à jour pour tous les composants de Greengrass V2 qui utilisent Log4j sont disponibles pour le déploiement à partir du 10/12/2021. Ces composants sont : Stream Manager (2.0.14) et Secure Tunneling (1.0.6). AWS conseille aux clients qui utilisent ces composants Greengrass de déployer les dernières versions sur leurs appareils.

La fonction Stream Manager de Greengrass versions 1.10.x et 1.11.x utilise Log4j. La mise à jour de la fonction Stream Manager est incluse dans les versions 1.10.5 et 1.11.5 du correctif Greengrass, qui sont toutes deux disponibles à partir du 12/12/2021. Nous recommandons vivement aux clients qui utilisent les versions 1.10.x et 1.11.x et qui ont activé Stream Manager sur leurs appareils (ou qui pourraient l'activer à l'avenir) de mettre à jour leurs appareils vers les versions les plus récentes.

CloudFront

Les services CloudFront ont été mis à jour pour résoudre les problèmes identifiés dans CVE-2021-44228. Les services de traitement des demandes CloudFront qui sont exécutés dans nos POP ne sont pas écrits en Java. Ils ne sont donc pas affectés par ce problème.

Elastic Beanstalk

AWS Elastic Beanstalk installe Log4j à partir des référentiels de packages par défaut d'Amazon Linux dans ses plateformes Tomcat pour Amazon Linux 1 et Amazon Linux 2. Les versions de Log4j disponibles dans les référentiels Amazon Linux 1 et Amazon Linux 2 ne sont pas affectées par CVE-2021-44228.

Si vous avez effectué des changements de configuration dans l'utilisation de Log4j pour votre application, nous vous recommandons de prendre des mesures pour mettre à jour le code de votre application afin de résoudre ce problème.

Suivant nos pratiques habituelles, si des versions corrigées de ces référentiels de packages par défaut sont publiées, Elastic Beanstalk inclut la version corrigée dans la prochaine version de la plateforme Tomcat pour Amazon Linux 1 et Amazon Linux 2.

 Pour plus d'informations sur les mises à jour logicielles relatives à la sécurité pour Amazon Linux, consultez le Centre de sécurité d'Amazon Linux

EMR

CVE-2021-44228 affecte les versions d'Apache Log4j comprises entre 2.0 et 2.14.1 lors du traitement d'entrées provenant de sources non fiables. Les clusters EMR lancés avec les versions EMR 5 et EMR 6 comprennent des frameworks open source, comme Apache Hive, Flink, HUDI, Presto et Trino, qui utilisent ces versions d'Apache Log4j. Lorsque vous lancez un cluster avec la configuration par défaut d'EMR, il ne traite pas les entrées provenant de sources non fiables.

Nous travaillons activement à mettre au point une mise à jour qui résout le problème évoqué dans CVE-2021-44228 lorsque des frameworks open source installés sur votre cluster EMR traitent des informations provenant de sources non fiables.

Lake Formation

Les hôtes de service Lake Formation sont mis à jour proactivement vers la dernière version de Log4j afin de résoudre le problème de sécurité avec les versions référencées dans CVE-2021-44228.

AWS SDK

Le kit AWS SDK pour Java utilise une façade de journalisation et n'a pas de dépendance d'exécution par rapport à Log4j. À l'heure actuelle, nous ne pensons pas qu'il soit nécessaire d'apporter des modifications au kit AWS SDK pour Java concernant ce problème.

AMS

Nous surveillons activement ce problème, et nous nous efforçons de le résoudre pour tous les services AMS qui utilisent Log4j2. Nous encourageons vivement les clients qui gèrent des environnements contenant Log4j2 à effectuer une mise à jour vers la dernière version, ou à utiliser le mécanisme de mise à jour logicielle de leur système d'exploitation.

Amazon Neptune

Amazon Neptune inclut la bibliothèque Apache Log4j2 en tant que composant périphérique. Cependant, le problème ne semble pas avoir de conséquences pour les utilisateurs de Neptune. Par excès de prudence, les clusters Neptune seront automatiquement mis à jour afin qu’ils utilisent une version de Log4j2 qui résout le problème. Il se peut que les clients puissent observer des événements intermittents pendant la mise à jour.

NICE

En raison d'une CVE dans la bibliothèque Apache Log4j, incluse dans EnginFrame de la version 2020.0 à la version 2021.0-r1307, NICE vous recommande de passer à la version la plus récente d'EnginFrame, ou de mettre à jour la bibliothèque Log4j dans votre installation EnginFrame en suivant les instructions du site web de support.

N'hésitez pas à nous contacter.

Kafka

Managed Streaming for Apache Kafka est au courant du problème récemment divulgué (CVE-2021-44228) concernant la bibliothèque Apache Log4j2, et applique les mises à jour nécessaires. Veuillez noter que les outils de génération d'Apache Kafka et d'Apache Zookeeper proposées dans MSK utilisent actuellement la version Log4j 1.2.17, qui n'est pas concernée par ce problème. Certains composants de service spécifiques à MSK utilisent la bibliothèque Log4j, version supérieure à 2.0.0, et font l'objet de correctifs si nécessaire.

AWS Glue

AWS Glue est au courant du problème de sécurité récemment divulgué concernant l'outil open source Apache « Log4j2 » (CVE-2021-44228). Nous avons mis à jour notre flotte de plans de contrôle qui sert les API AWS Glue pour toutes les versions Glue prises en charge.

​AWS Glue crée un environnement Spark qui est isolé au niveau du réseau et de la gestion de tous les autres environnements Spark dans le compte de service AWS Glue. Vos tâches ETL sont exécutées sur un environnement à utilisateur unique. Si vos tâches ETL chargent une version spécifique d'Apache Log4j, il est conseillé de mettre à jour vos scripts pour utiliser la dernière version d'Apache Log4j. Si vous utilisez les points de terminaison de développement AWS Glue pour créer vos scripts, il est conseillé de mettre également à jour la version de Log4j que vous utilisez.

​AWS Glue applique proactivement les mises à jour aux nouveaux environnements Spark dans toutes les régions prises en charge. Si vous avez des questions ou si vous souhaitez obtenir une assistance supplémentaire, veuillez nous contacter via AWS Support.

RDS

Amazon RDS et Amazon Aurora traitent activement toutes les utilisations de services de Log4j2 en appliquant des mises à jour. Les moteurs de bases de données relationnelles créés par RDS n'incluent pas la bibliothèque Apache Log4j. En cas d'implication de fournisseurs en amont, nous appliquons les mesures d'atténuation qu'ils recommandent. Il se peut que les clients puissent observer des événements intermittents pendant la mise à jour des composants internes.

Amazon Connect

Les services Amazon Connect ont été mis à jour afin de résoudre les problèmes identifiés dans CVE-2021-44228.

Amazon DynamoDB 

Amazon DynamoDB et Amazon DynamoDB Accelerator (DAX) ont été mis à jour afin de résoudre les problèmes identifiés dans CVE-2021-44228.

Amazon Keyspaces  (pour Apache Cassandra)

Amazon Keyspaces (pour Apache Cassandra) a été mis à jour afin de résoudre les problèmes identifiés dans CVE-2021-44228.

Amazon MQ

Amazon MQ a deux champs de considération concernant le problème récemment divulgué (CVE-2021-44228) relatif à la bibliothèque Apache Log4j2 : le code de service Amazon MQ (spécifique à AWS) et le code open source (agents de messagerie d'Apache ActiveMQ et de RabbitMQ).

Depuis le 13 décembre 2021, nous avons effectué toutes les mises à jour requises du code de service Amazon MQ afin de résoudre ce problème.

La mise à jour des agents de messagerie open source n'est pas nécessaire. Toutes les versions d'Apache ActiveMQ proposées dans Amazon MQ utilisent Log4j version 1.2.x, qui n'est pas concernée par ce problème. RabbitMQ n'utilise pas Log4j et n'est pas concerné par ce problème.

Kinesis Data Analytics

Les versions d'Apache Flink prises en charge par Kinesis Data Analytics comprennent des versions d'Apache Log4j comprises entre la version 2.0 et la version 2.14.1. Les applications Kinesis Data Analytics fonctionnent dans un environnement isolé à utilisateur unique, et ne peuvent interagir les unes avec les autres.

Nous actualisons la version de Log4j disponible pour les applications Kinesis Data Analytics des clients dans toutes les régions AWS. Les applications démarrées ou mises à jour après 18 h 30 PST le 12/12/2021 recevrons automatiquement le correctif mis à jour. Les clients dont les applications ont été démarrées ou mises à jour avant cela peuvent vérifier que leurs applications utilisent la version mise à jour de Log4j en appelant l'API UpdateApplication de Kinesis Data Analytics. Veuillez consulter de plus amples informations sur l'API UpdateApplication.

AWS est au courant du problème de sécurité récemment publié, concernant l'outil open source Apache « Log4j2 » (CVE-2021-44228). Nous surveillons activement ce problème, et nous travaillons à le résoudre pour tous les services AWS qui utilisent l'outil Log4j2 ou qui le fournissent aux clients dans le cadre de leur service.

Nous encourageons vivement les clients qui gèrent des environnements comportant l'utilitaire Log4j2 à effectuer la mise à jour vers la version la plus récente, ou à mettre à jour le mécanisme de mise à jour logicielle de leur système d'exploitation.

Il a été signalé que l'utilisation de Log4j2 sur les JDK supérieurs à la version 8u121 ou 8u191 (y compris JDK 11 et les versions ultérieures) atténue le problème, mais de façon partielle. La seule solution complète consiste à mettre à niveau Log4j2 vers la version 2.15. Les versions Log4j2 antérieures à 2.15 doivent être considérées comme étant affectées, quelle que soit la distribution ou la version JDK utilisée.

Des informations supplémentaires spécifiques aux services sont disponibles ci-dessous.

Pour plus d'informations ou de l'aide, veuillez contacter AWS Support.

API Gateway

Nous mettons à jour API Gateway afin d'utiliser une version de Log4j2 qui résout le problème. Pendant ces mises à jour, vous pourriez observer des augmentations périodiques de la latence pour certaines API.

AWS Greengrass

Les mises à jour pour tous les composants de Greengrass V2 qui utilisent Apache Log4j2 sont disponibles pour le déploiement depuis le 12/10/2021. Ces composants sont : Stream Manager (2.0.14) et Secure Tunneling (1.0.6). AWS conseille aux clients qui utilisent ces composants Greengrass de déployer les dernières versions sur leurs appareils.

Les mises à jour pour les versions 1.10 et 1.11 de Greengrass devraient être disponibles d'ici le 17/12/2021. Nous recommandons aux clients qui utilisent Stream Manager sur ces appareils de les actualiser aussitôt que les fichiers binaires Greengrass sont disponibles pour ces versions. Entre-temps, les clients doivent vérifier que leur code Lambda personnalisé utilisant Stream Manager sur Greengrass 1.10 ou 1.11 n'utilise pas de noms de flux et de noms de fichiers arbitraires (pour l'exportateur S3) hors du contrôle du client, par exemple un nom de flux ou de fichier contenant le texte « ${ ».

Amazon MQ

Amazon MQ a deux champs de considération concernant le problème récemment divulgué (CVE-2) relatif à la bibliothèque Apache Log4j2 : le code de service Amazon MQ (spécifique à AWS) et le code open source (agents de messagerie d'Apache ActiveMQ et de RabbitMQ).

Nous appliquons les mises à jour requises au code de service Amazon MQ afin de résoudre ce problème.

La mise à jour des agents de messagerie open source n'est pas nécessaire. Toutes les versions d'Apache ActiveMQ proposées dans Amazon MQ utilisent Log4j version 1.x, qui n'est pas concernée par ce problème. RabbitMQ n'utilise pas Log4j2 et n'est pas concerné par ce problème.

CloudFront

Les services CloudFront ont été mis à jour pour résoudre les problèmes identifiés dans CVE-2021-44228. Les services de traitement des demandes CloudFront qui sont exécutés dans nos POP ne sont pas écrits en Java. Ils ne sont donc pas affectés par ce problème.

AWS Elastic Beanstalk

AWS Elastic Beanstalk installe Log4j à partir des référentiels de packages par défaut d'Amazon Linux dans ses plateformes Tomcat pour Amazon Linux 1 et Amazon Linux 2. Les versions de Log4j disponibles dans les référentiels Amazon Linux 1 et Amazon Linux 2 ne sont pas affectées par CVE-2021-44228.

Si vous avez effectué des changements de configuration dans l'utilisation de Log4j pour votre application, nous vous recommandons de prendre des mesures pour mettre à jour le code de votre application afin de résoudre ce problème.

Suivant nos pratiques habituelles, si des versions corrigées de ces référentiels de packages par défaut sont publiées, Elastic Beanstalk inclut la version corrigée dans la prochaine version de la plateforme Tomcat pour Amazon Linux 1 et Amazon Linux 2.

Pour plus d'informations sur les mises à jour logicielles relatives à la sécurité pour Amazon Linux, consultez le Centre de sécurité d'Amazon Linux.

EMR

CVE-2021-44228 affecte les versions d'Apache Log4j comprises entre 2.0 et 2.14.1 lors du traitement d'entrées provenant de sources non fiables. Les clusters EMR lancés avec les versions EMR 5 et EMR 6 comprennent des frameworks open source, comme Apache Hive, Flink, HUDI, Presto et Trino, qui utilisent ces versions d'Apache Log4j. Lorsque vous lancez un cluster avec la configuration par défaut d'EMR, il ne traite pas les entrées provenant de sources non fiables.

Nous travaillons activement à mettre au point une mise à jour qui résout le problème évoqué dans CVE-2021-44228 lorsque des frameworks open source installés sur votre cluster EMR traitent des informations provenant de sources non fiables.

Lake Formation

Les hôtes du service Lake Formation sont mis à jour de manière proactive vers la dernière version de Log4j afin de résoudre le problème avec les versions référencées dans CVE-2021-44228.

S3

L'entrée et la sortie des données de S3 sont protégées contre le problème concernant Log4j2. Nous travaillons à l'application du correctif Log4j2 aux systèmes S3 qui fonctionnent séparément de l'entrée et de la sortie des données de S3.

AWS SDK

Le kit AWS SDK pour Java utilise une façade de journalisation et n'a pas de dépendance d'exécution par rapport à Log4j. À l'heure actuelle, nous ne pensons pas qu'il soit nécessaire d'apporter des modifications au kit AWS SDK pour Java concernant ce problème.

AMS

Nous surveillons activement ce problème, et nous nous efforçons de le résoudre pour tous les services AMS qui utilisent Log4j2. Nous encourageons vivement les clients qui gèrent des environnements contenant Log4j2 à effectuer une mise à jour vers la dernière version, ou à utiliser le mécanisme de mise à jour logicielle de leur système d'exploitation.

AMS recommande de déployer un pare-feu d'application web (WAF) pour tous les points de terminaison d'applications accessibles par Internet. Le service AWS WAF peut être configuré pour fournir une couche de sécurité supplémentaire contre ce problème en déployant le jeu de règles AWSManagedRulesAnonymousIpList (qui contient des règles permettant de bloquer les sources connues pour anonymiser les informations des clients, comme les nœuds TOR) et le jeu de règles AWSManagedRulesKnownBadInputsRuleSet (qui contrôle l'URI, le corps de requête et les en-têtes couramment utilisés pour aider à bloquer les requêtes liées à Log4j et d'autres problèmes).

AMS continuera à suivre ce problème et fournira des détails et des recommandations supplémentaires dès qu'ils seront disponibles.

Amazon Neptune

Amazon Neptune inclut la bibliothèque Apache Log4j2 en tant que composant périphérique. Cependant, le problème ne semble pas avoir de conséquences pour les utilisateurs de Neptune. Par excès de prudence, les clusters Neptune seront automatiquement mis à jour afin qu’ils utilisent une version de Log4j2 qui résout le problème. Il se peut que les clients puissent observer des événements intermittents pendant la mise à jour.

NICE

En raison d'une CVE dans la bibliothèque Apache Log4j incluse dans EnginFrame de la version 2020.0 à la version 2021.0-r1307, SUPER vous recommande de passer à la version la plus récente d'EnginFrame, ou de mettre à jour la bibliothèque Log4j dans votre installation EnginFrame en suivant les instructions du site web de support.

N'hésitez pas à nous contacter.

Kafka

Managed Streaming for Apache Kafka est au courant du problème récemment divulgué (CVE-2021-44228) concernant la bibliothèque Apache Log4j2, et applique les mises à jour nécessaires. Veuillez noter que les outils de génération d'Apache Kafka et d'Apache Zookeeper proposées dans MSK utilisent actuellement la version Log4j 1.2.17, qui n'est pas concernée par ce problème. Certains composants de service spécifiques à MSK utilisent la bibliothèque Log4j, version supérieure à 2.0.0, et font l'objet de correctifs si nécessaire.

AWS Glue

AWS Glue est au courant du problème de sécurité récemment divulgué concernant l'outil open source Apache « Log4j2 » (CVE-2021-44228). Nous avons mis à jour notre flotte de plans de contrôle qui sert les API AWS Glue pour toutes les versions Glue prises en charge.

AWS Glue crée un environnement Spark qui est isolé au niveau du réseau et de la gestion de tous les autres environnements Spark dans le compte de service AWS Glue. Vos tâches ETL sont exécutées sur un environnement à utilisateur unique. Si vos tâches ETL chargent une version spécifique d'Apache Log4j, il est conseillé de mettre à jour vos scripts pour utiliser la dernière version d'Apache Log4j. Si vous utilisez les points de terminaison de développement AWS Glue pour créer vos scripts, nous vous conseillons de mettre également à jour la version Log4j que vous utilisez.

AWS Glue applique proactivement les mises à jour aux nouveaux environnements Spark dans toutes les régions prises en charge. Si vous avez des questions ou si vous souhaitez obtenir une assistance supplémentaire, veuillez nous contacter via AWS Support.

RDS

Amazon RDS et Amazon Aurora traitent activement toutes les utilisations de services de Log4j2 en appliquant des mises à jour. Les moteurs de bases de données relationnelles créés par RDS n'incluent pas la bibliothèque Apache Log4j. En cas d'implication de fournisseurs en amont, nous appliquons les mesures d'atténuation qu'ils recommandent. Il se peut que les clients puissent observer des événements intermittents pendant la mise à jour des composants internes.

OpenSearch

Amazon OpenSearch Service déploie une mise à jour du logiciel de service, version R20211203-P2, qui contient une version mise à jour de Log4j2. Nous informerons les clients dès que la mise à jour sera disponible dans leurs régions respectives, et nous mettrons à jour ce bulletin dès que la mise à jour sera disponible dans le monde entier.