初版発行日: 2022 年 4 月 19 日 14 時 30 分 (PST)
CVE ID: CVE-2021-3100、CVE-2021-3101、CVE-2022-0070、CVE-2022-0071
2021 年 12 月 12 日、Amazon は、Java VM を実行するためのホットパッチを公開しました。これは、Java Naming and Directory Interface (JNDI) クラスのロードを無効にするものです。このホットパッチは、オープンソースの Apache「Log4j2」ユーティリティ (CVE-2021-44228 および CVE-2021-45046) 内の重大な問題を直ちに緩和すると同時に、影響を受ける環境に対して、システム管理者がパッチを完全に適用するのに十分な時間を提供します。最近、セキュリティ研究者から、このホットパッチ内の問題、および Bottlerocket の関連する OCI フック (「Hotdog」) の報告がなされました。当社では、新しいバージョンのホットパッチと新しいバージョンの Hotdog でこれらの問題に対処しました。コンテナで Java アプリケーションを実行し、ホットパッチまたは Hotdog のいずれかを使用しているお客様には、直ちに最新バージョンのソフトウェアに更新することをお勧めします。Amazon Linux および Amazon Linux 2 のホットパッチの最新のパッケージ名とバージョンは次のとおりです。
- Amazon Linux: log4j-cve-2021-44228-hotpatch-1.1-16.amzn1
- Amazon Linux 2: log4j-cve-2021-44228-hotpatch-1.1-16.amzn2
Amazon Linux で Apache Log4j のホットパッチを使用しているお客様は、次のコマンドを実行して最新のホットパッチバージョンに更新できます: sudo yum update。ホットパッチは、最新の Linux カーネル更新を含む環境を想定しているため、使用中のホットパッチのバージョンを更新する際には、利用可能なカーネル更新をスキップしないでください。詳細については、Amazon Linux Security Center (https://alas.thinkwithwp.com) でご覧いただけます。
Apache Log4j 機能のホットパッチを有効にして Bottlerocket をご利用のお客様は、最新バージョンの Hotdog を含む最新リリースの Bottlerocket に更新する必要があります。
これらの問題をご報告いただいた Palo Alto Networks に感謝申し上げます。
セキュリティ関連の質問または懸念事項については、aws-security@amazon.com までご連絡ください。