初始发布日期:2022 年 4 月 19 日 14:30(太平洋标准时)
CVE 标识符:CVE-2021-3100、CVE-2021-3101、CVE-2022-0070、CVE-2022-0071
2021 年 12 月 12 日,Amazon 公开发布了一个用于运行 Java 虚拟机的热补丁。该热补丁会禁止加载 Java 命名和目录接口(JNDI)类,可紧急缓解开源 Apache “Log4j2”实用工具中的关键问题(CVE-2021-44228 和 CVE-2021-45046),同时让系统管理员拥有充分的时间来完全修补受影响的环境。安全研究人员最近报告了该热补丁以及适用于 Bottlerocket 的相关 OCI 挂钩(“Hotdog”)中的一些问题。我们已经在新版本的热补丁和 Hotdog 中解决了这些问题。如果客户在容器中运行 Java 应用程序并且使用该热补丁或 Hotdog,则建议立即更新到该软件的最新版本。适用于 Amazon Linux 和 Amazon Linux 2 的热补丁的最新软件包名称和版本如下:
- Amazon Linux:log4j-cve-2021-44228-hotpatch-1.1-16.amzn1
- Amazon Linux 2:log4j-cve-2021-44228-hotpatch-1.1-16.amzn2
如果客户将该热补丁用于 Amazon Linux 上的 Apache Log4j,则可以通过运行下面的命令以更新到最新版本的热补丁:sudo yum update。该热补丁需要使用包含最新 Linux 内核更新的环境,并且在更新正在使用的热补丁版本时,客户不应跳过任何可用的内核更新。有关更多信息,请访问 Amazon Linux 安全中心:https://alas.thinkwithwp.com
如果客户使用 Bottlerocket 并且启用了适用于 Apache Log4j 功能的热补丁,则应更新到 Bottlerocket 的最新发行版,其中包含了最新版本的 Hotdog。
这些问题由 Palo Alto Networks 报告,我们在此深表感谢。
如有安全相关问题或疑问,请通过 aws-security@amazon.com 与我们联系。