Data inicial de publicação: 19/04/2022 14:30 PST
CVE IDs: CVE-2021-3100, CVE-2021-3101, CVE-2022-0070, CVE-2022-0071

Em 12 de dezembro de 2021, a Amazon lançou publicamente um hotpatch para executar Java VMs que desativa o carregamento da classe Java Naming and Directory Interface (JNDI). Esse hotpatch fornece uma mitigação imediata para problemas críticos no utilitário Apache “Log4j2” de código aberto (CVE-2021-44228 e CVE-2021-45046), enquanto permite aos administradores de sistema tempo suficiente para corrigir totalmente os ambientes afetados. Pesquisadores de segurança relataram recentemente problemas nesse hotpatch e nos ganchos OCI associados para Bottlerocket (“Hotdog”). Resolvemos esses problemas em uma nova versão do hotpatch e em uma nova versão do Hotdog. Recomendamos que os clientes que executem aplicativos Java em contêineres e usem o hotpatch ou o Hotdog atualizem para as versões mais recentes do software imediatamente. Os nomes dos pacotes e as versões mais recentes do hotpatch para Amazon Linux e Amazon Linux 2 são os seguintes:

  • Amazon Linux: log4j-cve-2021-44228-hotpatch-1.1-16.amzn1
  • Amazon Linux 2: log4j-cve-2021-44228-hotpatch-1.1-16.amzn2

Os clientes que usam o hotpatch para Apache Log4j no Amazon Linux podem atualizar para a versão de hotpatch mais recente executando o seguinte comando: sudo yum update. O hotpatch espera um ambiente que contenha as atualizações de kernel Linux mais recentes, e os clientes não devem ignorar nenhuma atualização de kernel disponível ao atualizar a versão do hotpatch em uso. Mais informações estão disponíveis no Amazon Linux Security Center: https://alas.thinkwithwp.com

Os clientes que usam o Bottlerocket com o recurso de hotpatch para Apache Log4j ativado devem atualizar para a versão mais recente do Bottlerocket, que inclui a versão mais recente do Hotdog.

Gostaríamos de agradecer à Palo Alto Networks por relatar esses problemas.

Envie dúvidas ou preocupações relacionadas à segurança para aws-security@amazon.com.