AWS ตระหนักถึงปัญหาที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้เกี่ยวกับยูทิลิตี "Log4j2" ของ Apache แบบโอเพนซอร์ส (CVE-2021-44228 และ CVE-2021-45046)
การตอบสนองต่อปัญหาด้านความปลอดภัยเช่นนี้แสดงให้เห็นถึงคุณค่าของการมีเทคโนโลยีเชิงป้องกันแบบหลายเลเยอร์ ซึ่งสำคัญต่อการรักษาความปลอดภัยของข้อมูลและปริมาณงานของลูกค้า
เราให้ความสำคัญกับปัญหานี้อย่างมาก และทีมวิศวกรระดับโลกของเราได้ติดตั้งใช้ฮอตแพตช์ Java ที่ Amazon พัฒนาขึ้นซึ่งพร้อมใช้งานกับบริการของ AWS ทั้งหมดอย่างเต็มรูปแบบที่นี่ ซึ่งฮอตแพตช์นี้จะอัปเดต Java VM ให้ปิดใช้งานการโหลดคลาส Java Naming and Directory Interface (JNDI) โดยแทนที่ด้วยข้อความแจ้งเตือนที่ไม่เป็นอันตรายซึ่งบรรเทาปัญหาใน CVE-2021-44228 และ CVE-2021-45046 เราจะดำเนินการติดตั้งไลบรารี Log4j ที่อัปเดตกับบริการทั้งหมดของเราโดยเร็ว สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับฮอตแพตช์ Java ได้ที่ https://thinkwithwp.com/blogs/security/open-source-hotpatch-for-apache-log4j-vulnerability/
แม้จะมีการติดตั้งฮอตแพตช์นี้แล้ว ลูกค้าจำเป็นต้องติดตั้งไลบรารี Log4j ที่อัปเดตโดยเร็วที่สุดเช่นเดียวกับที่เราดำเนินการบน AWS
สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีตรวจจับและแก้ไขปัญหา Log4j CVE โดยใช้บริการของ AWS โปรดอ่านบล็อกโพสต์ล่าสุดของเราที่นี่
ไม่มีการอัปเดตเฉพาะบริการเพิ่มเติมที่จำเป็นหลังจากกระดานข่าวนี้
หากคุณต้องการรายละเอียดเพิ่มเติมหรือความช่วยเหลือ โปรดติดต่อ AWS Support
Amazon Connect
Amazon Connect ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
เราขอแนะนำให้ลูกค้าประเมินองค์ประกอบของสภาพแวดล้อมของตนที่ไม่อยู่ในขอบเขตการให้บริการของ Amazon Connect (เช่น ฟังก์ขัน Lambda ที่เรียกใช้จากโฟลว์การติดต่อ) ซึ่งอาจจำเป็นต้องมีการแก้ไขปัญหาแยกออกไป/เพิ่มเติม
Amazon Chime
บริการของ Amazon Chime SDK ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 และ CVE-2021-45046
บริการของ Amazon Chime ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 และ CVE-2021-45046
Amazon EMR
CVE-2021-44228 ส่งผลกระทบต่อ Apache Log4j เวอร์ชันที่อยู่ระหว่าง 2.0 ถึง 2.14.1 เมื่อประมวลผลอินพุตจากแหล่งที่มาที่ไม่น่าเชื่อถือ คลัสเตอร์ EMR ที่เปิดใช้ด้วยรุ่น EMR 5 และ EMR 6 จะรวมเฟรมเวิร์กแบบโอเพนซอร์ส เช่น Apache Hive, Apache Flink, HUDI, Presto และ Trino ไว้ด้วย ซึ่งใช้ Apache Log4j ในเวอร์ชันเหล่านี้ เมื่อคุณเปิดใช้คลัสเตอร์ที่มีการกำหนดค่าเริ่มต้นของ EMR คลัสเตอร์ดังกล่าวจะไม่ประมวลผลอินพุตจากแหล่งที่มาที่ไม่น่าเชื่อถือ ลูกค้าหลายรายใช้เฟรมเวิร์กแบบโอเพนซอร์สที่ติดตั้งอยู่ในคลัสเตอร์ EMR ของตนเพื่อประมวลผลและอินพุตข้อมูลรายการบันทึกจากแหล่งที่ไม่น่าเชื่อถือ ดังนั้น AWS จึงขอแนะนำให้คุณใช้โซลูชันตามที่อธิบายไว้ที่นี่
Amazon Fraud Detector
บริการของ Amazon Fraud Detector ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon Kendra
Amazon Kendra ได้รับการอัปเดตเพื่อบรรเทาปัญหา CVE-2021-44228
Amazon Lex
Amazon Lex ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon Lookout for Equipment
Amazon Lookout for Equipment ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon Macie
บริการของ Amazon Macie ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon Macie Classic
บริการของ Amazon Macie Classic ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon Monitron
Amazon Monitron ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon RDS
Amazon RDS และ Amazon Aurora ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon Rekognition
บริการของ Amazon Rekognition ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon VPC
บริการของ Amazon VPC รวมถึงอินเทอร์เน็ตเกตเวย์และเกตเวย์เสมือนจริงได้รับการอัปเดตเพื่อบรรเทาปัญหา Log4j ที่อ้างอิงใน CVE-2021-44228
AWS AppSync
AWS AppSync ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 และ CVE-2021-45046
AWS Certificate Manager
บริการของ AWS Certificate Manager ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
บริการของ ACM Private CA ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
AWS Service Catalog
AWS Service Catalog ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
AWS Systems Manager
บริการของ AWS Systems Manager ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 Systems Manager Agent ไม่ได้รับผลกระทบจากปัญหานี้
AWS ตระหนักถึงปัญหาที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้เกี่ยวกับยูทิลิตี "Log4j2" ของ Apache แบบโอเพนซอร์ส (CVE-2021-44228 และ CVE-2021-45046)
การตอบสนองต่อปัญหาด้านความปลอดภัยเช่นนี้แสดงให้เห็นถึงคุณค่าของการมีเทคโนโลยีเชิงป้องกันแบบหลายเลเยอร์ ซึ่งสำคัญต่อการรักษาความปลอดภัยของข้อมูลและปริมาณงานของลูกค้า เราให้ความสำคัญกับปัญหานี้อย่างมาก และทีมวิศวกรระดับโลกของเรากำลังทำงานเพื่อหาวิธีตอบสนองและการแก้ไขอย่างต่อเนื่อง เราหวังเป็นอย่างยิ่งที่จะสามารถกู้คืนการป้องกันเชิงลึกอย่างเต็มรูปแบบของเรากลับมาได้โดยเร็ว
โดยหนึ่งในเทคโนโลยีที่เราพัฒนาขึ้นและติดตั้งใช้งานภายใน AWS อย่างครอบคลุมคือฮอตแพตช์สำหรับแอปพลิเคชันที่อาจมี Log4j ซึ่งฮอตแพตช์นี้จะอัปเดต Java VM ให้ปิดใช้งานการโหลดคลาส Java Naming and Directory Interface (JNDI) โดยแทนที่ด้วยข้อความแจ้งเตือนที่ไม่เป็นอันตรายซึ่งบรรเทาปัญหาใน CVE-2021-44228 และ CVE-2021-45046 อย่างมีประสิทธิภาพ
เรายังพร้อมให้บริการในแบบโซลูชันแบบโอเพนซอร์ส ซึ่งมีให้บริการที่นี่
แม้จะมีการติดตั้งฮอตแพตช์นี้แล้ว ลูกค้าจำเป็นต้องติดตั้งไลบรารี Log4j ที่อัปเดตโดยเร็วที่สุด
สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีตรวจจับและแก้ไขปัญหา Log4j CVE โดยใช้บริการของ AWS โปรดอ่านบล็อกโพสต์ล่าสุดของเราที่นี่
ดูข้อมูลเพิ่มเติมแบบเฉพาะบริการได้ที่ด้านล่าง หากคุณต้องการรายละเอียดเพิ่มเติมหรือความช่วยเหลือ โปรดติดต่อ AWS Support
Amazon EKS, Amazon ECS และ AWS Fargate
เพื่อช่วยบรรเทาผลกระทบของปัญหาด้านความปลอดภัยของยูทิลิตี "Log4j2" ของ Apache แบบโอเพนซอร์ส (CVE-2021-44228 และ CVE-2021-45046) กับคอนเทนเนอร์ของลูกค้า Amazon EKS, Amazon ECS และ AWS Fargate จึงมีการติดตั้งอัปเดต (ฮอตแพตช์) ที่ทำงานบน Linux ฮอตแพตช์นี้จำเป็นต้องให้ลูกค้าเลือกใช้งานและปิดใช้งานการค้นหา JNDI จากไลบรารี Log4J2 ในคอนเทนเนอร์ของลูกค้า อัปเดตเหล่านี้พร้อมให้บริการเป็น แพคเกจ Amazon Linux สำหรับลูกค้า Amazon ECS เป็น DaemonSet สำหรับผู้ใช้ Kubernetes บน AWS และในเวอร์ชันของแพลตฟอร์ม AWS Fargate ที่รองรับ
เราแนะนำให้ลูกค้าที่ใช้งานแอปพลิเคชันที่ทำงานด้วย Java บนคอนเทนเนอร์ Windows ปฏิบัติตามคำแนะนำของ Microsoft ที่นี่
Amazon ECR Public และ Amazon ECR
อิมเมจของ Amazon ที่เผยแพร่ในบัญชีที่มีการยืนยันบน Amazon ECR Public จะไม่ได้รับผลกระทบจากปัญหาที่อธิบายไว้ใน CVE-2021-4422 สำหรับอิมเมจของลูกค้าบน Amazon ECR AWS ขอเสนอ การสแกนที่ดียิ่งขึ้น ด้วย Amazon Inspector ซึ่งออกแบบมาให้สแกนอิมเมจคอนเทนเนอร์สำหรับปัญหาด้านความปลอดภัยที่รู้จักอย่างต่อเนื่อง รวมถึงอิมเมจคอนเทนเนอร์ที่มี CVE-2021-44228 โดยจะมีการรายงานผลการค้นหาใน Console ของ Inspector และ ECR Inspector มาพร้อมช่วงทดลองใช้ฟรี 15 วันพร้อมการสแกนอิมเมจคอนเทนเนอร์ฟรีสำหรับบัญชีที่เพิ่งมีการใช้งาน Inspector สำหรับลูกค้าที่ใช้อิมเมจใน ECR Public จากผู้เผยแพร่ภายนอก ลูกค้าสามารถใช้คุณสมบัติ Pull Through Cache ที่เพิ่งเปิดตัวของ ECR เพื่อคัดลอกอิมเมจเหล่านั้นจาก ECR Public ไปยัง รีจิสทรี ECR ของตนและใช้การสแกนของ Inspector เพื่อตรวจหาปัญหาด้านความปลอดภัย
Amazon Cognito
บริการของ Amazon Cognito ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon Pinpoint
บริการของ Amazon Pinpoint ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon EventBridge
Amazon EventBridge ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Elastic Load Balancing
บริการของ Elastic Load Balancing ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 Elastic Load Balancers ทั้งหมดรวมถึง Classic, Application, Network และ Gateway ไม่ได้เขียนด้วย Java จึงไม่ได้รับผลกระทบจากปัญหานี้
AWS CodePipeline
AWS CodePipeline ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 และ CVE-2021-45046
AWS CodeBuild
AWS CodeBuild ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 และ CVE-2021-45046
Amazon Route53
Route 53 ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon Linux
Amazon Linux 1 (AL1) และ Amazon Linux 2 (AL2) โดยเริ่มต้นจะใช้ log4j ในเวอร์ชันที่ไม่ได้รับผลกระทบจาก CVE-2021-44228 หรือ CVE-2021-45046 Amazon Kinesis Agent เวอร์ชันใหม่ที่เป็นส่วนหนึ่งใน AL2 ที่แก้ไขปัญหา CVE-2021-44228 และ CVE-2021-45046 นอกจากนี้ เพื่อให้ความช่วยเหลือกับลูกค้าที่นำโค้ด log4j ของตนมาใช้ Amazon Linux ได้ปล่อยแพคเกจใหม่ที่ประกอบด้วยฮอตแพตช์สำหรับ Apache log4j ดูรายละเอียดเพิ่มเติมได้ที่นี่
Amazon SageMaker
Amazon SageMaker ทำการแพตช์ปัญหาของ Apache Log4j2 (CVE-2021-44228) เสร็จสมบูรณ์ในวันที่ 15 ธันวาคม 2021
เรายังคงแนะนำให้ลูกค้าของเราดำเนินการอัปเดตแอปพลิเคชันและบริการทั้งหมดโดยการแพตช์ปัญหาที่รู้จักเช่นในกรณีนี้อย่างต่อเนื่อง ลูกค้าที่ได้รับการแนะนำให้ดำเนินการกับปัญหานี้จะได้รับคำแนะนำโดยละเอียดผ่านทาง PHD แม้คุณจะไม่ได้รับผลกระทบจากปัญหา Log4j เราขอแนะนำให้คุณรีสตาร์ทงานหรืออัปเดตแอปเพื่อใช้ซอฟต์แวร์เวอร์ชันล่าสุดของเรา
Amazon Athena
Amazon Athena ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 ไดรเวอร์ JDBC ของ Amazon Athena ทุกเวอร์ชันที่จำหน่ายให้กับลูกค้าไม่ได้รับผลกระทบจากปัญหานี้
AWS Certificate Manager
บริการของ AWS Certificate Manager ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
บริการของ ACM Private CA ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon AppFlow
Amazon AppFlow ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon Polly
Amazon Polly ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon QuickSight
Amazon QuickSight ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
AWS Textract
บริการของ AWS Textract ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon Corretto
Amazon Corretto เวอร์ชันล่าสุดที่ปล่อยออกมาในวันที่ 19 ตุลาคมไม่ได้รับผลกระทบจาก CVE-2021-44228 เนื่องจากไม่มี Log4j ใน Distribution ของ Corretto เราขอแนะนำให้ลูกค้าอัปเดต Log4j เป็นเวอร์ชันล่าสุดในแอปพลิเคชันทั้งหมดที่ใช้ Log4j รวมถึงการพึ่งพาโดยตรง การพึ่งพาโดยอ้อม และ JAR แรเงา
AWS ตระหนักถึงปัญหาด้านความปลอดภัยที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้เกี่ยวกับยูทิลิตี "Log4j2" ของ Apache แบบโอเพนซอร์ส (CVE-2021-44228)
การตอบสนองต่อปัญหาด้านความปลอดภัยเช่นนี้แสดงให้เห็นถึงคุณค่าของการมีเทคโนโลยีเชิงป้องกันแบบหลายเลเยอร์ ซึ่งสำคัญต่อการรักษาความปลอดภัยของข้อมูลและปริมาณงานของลูกค้า เราให้ความสำคัญกับปัญหานี้อย่างมาก และทีมวิศวกรระดับโลกของเรากำลังทำงานเพื่อหาวิธีตอบสนองและการแก้ไขอย่างต่อเนื่อง เราหวังเป็นอย่างยิ่งที่จะสามารถกู้คืนการป้องกันเชิงลึกอย่างเต็มรูปแบบของเรากลับมาได้โดยเร็ว
โดยหนึ่งในเทคโนโลยีที่เราพัฒนาขึ้นและติดตั้งใช้งานคือฮอตแพตช์สำหรับแอปพลิเคชันที่อาจมี Log4j เรายังพร้อมให้บริการในแบบโซลูชันแบบโอเพนซอร์ส ซึ่งมีให้บริการที่นี่
แม้จะมีการติดตั้งฮอตแพตช์นี้แล้ว ลูกค้าจำเป็นต้องวางแผนติดตั้งไลบรารี Log4j ที่อัปเดตโดยเร็วที่สุด
ดูข้อมูลเพิ่มเติมแบบเฉพาะบริการได้ที่ด้านล่าง หากคุณต้องการรายละเอียดเพิ่มเติมหรือความช่วยเหลือ โปรดติดต่อ AWS Support
Amazon Kinesis
Kinesis Agent เวอร์ชันใหม่ที่แก้ไขปัญหาไลบรารี Apache Log4j2 ที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้ (CVE-2021-44228) พร้อมให้บริการแล้วที่นี่
Amazon Inspector
บริการของ Amazon Inspector ได้รับการแก้ไขปัญหา Log4j แล้ว
บริการของ Inspector ช่วยตรวจจับปัญหา CVE-2021-44228 (Log4Shell) ภายในปริมาณงาน EC2 และอิมเมจ ECR ของลูกค้า โดยการตรวจจับพร้อมให้บริการอยู่ในขณะนี้สำหรับแพคเกจในระดับระบบปฏิบัติการที่ได้รับผลกระทบบน Linux ซึ่งบริการเหล่านี้รวมถึงแต่ไม่จำกัดเพียง apache-log4j2 และ liblog4j2-java สำหรับ Debian; log4j, log4jmanual และ log4j12 สำหรับ SUSE และ Elasticsearch สำหรับ Alpine, Centos, Debian, Red Hat, SUSE และ Ubuntu การตรวจจับนอกเหนือจากนี้จะถูกเพิ่มเข้าในเมื่อมีผลกระทบเพิ่มเติมที่ระบุโดยทีมงานด้านความปลอดภัยสำหรับ Distribution ที่เกี่ยวข้อง Inspector จะแบ่งการเก็บถาวรของ Java ในอิมเมจ ECR และสร้างผลการค้นหาแพคเกจหรือแอปพลิเคชันที่ได้รับผลกระทบ โดยจะระบุผลการค้นหาเหล่านี้ไว้ใน Console ของ Inspector ภายใต้ “CVE-2021-44228” หรือ “IN1-JAVA-ORGAPACHELOGGINGLOG4J-2314720 - org.apache.logging.log4j:log4j-core”
Amazon Inspector Classic
บริการของ Amazon Inspector ได้รับการแก้ไขปัญหา Log4j แล้ว
บริการของ Inspector Classic ช่วยตรวจจับปัญหา CVE-2021-44228 (Log4Shell) ภายในปริมาณงาน EC2 ของลูกค้า โดยการตรวจจับ CVE-2021-44228 (Log4Shell) พร้อมให้บริการอยู่ในขณะนี้สำหรับแพคเกจในระดับระบบปฏิบัติการที่ได้รับผลกระทบบน Linux ซึ่งบริการเหล่านี้รวมถึงแต่ไม่จำกัดเพียง apache-log4j2 และ liblog4j2-java สำหรับ Debian; log4j, log4jmanual และ log4j12 สำหรับ SUSE และ Elasticsearch สำหรับ Alpine, Centos, Debian, Red Hat, SUSE และ Ubuntu
Amazon WorkSpaces/AppStream 2.0
Amazon WorkSpaces และ AppStream 2.0 ไม่ได้รับผลกระทบจาก CVE-2021-44228 ด้วยการกำหนดค่าเริ่มต้น อิมเมจ Amazon Linux 2 เริ่มต้นของ WorkSpace และ AppStream ไม่มี Log4j เป็นองค์ประกอบ และเวอร์ชันของ Log4j ที่มีในคลังแพคเกจ Amazon Linux 2 เริ่มต้นไม่ได้รับผลกระทบจาก CVE-2021-44228 อย่างไรก็ตาม หากคุณติดตั้งไคลเอ็นต์ WorkDocs Sync บน Windows WorkSpaces โปรดดำเนินการตามที่แนะนำด้านล่างนี้
โดยเริ่มต้น Windows WorkSpaces ไม่ได้ติดตั้ง WorkDocs Sync เอาไว้ อย่างไรก็ตาม WorkSpace เคยมีทางลัดบนเดสก์ท็อปโดยเริ่มต้นไปยังตัวติดตั้งไคลเอ็นต์ WorkDocs Sync ก่อนเดือนมิถุนายน 2021 ไคลเอ็นต์ WorkDocs Sync เวอร์ชัน 1.2.895.1 (และเก่ากว่า) มีองค์ประกอบ Log4j หากคุณติดตั้งไคลเอ็นต์ WorkDocs Sync เวอร์ชันเก่าบน WorkSpaces โปรดรีสตาร์ทไคลเอ็นต์ Sync บน WorkSpaces ผ่านเครื่องมือที่มีการจัดการเช่น SCCM หรือแนะนำให้ผู้ใช้ WorkSpaces ของคุณเปิดไคลเอ็นต์ Sync “Amazon WorkDocs” ด้วยตนเองจากรายการโปรแกรมที่ติดตั้ง เมื่อเปิดใช้งาน ไคลเอ็นต์ Sync จะอัปเดตเป็นเวอร์ชันล่าสุด 1.2.905.1 ซึ่งไม่ได้รับผลกระทบจาก CVE-2021-44228 โดยอัตโนมัติ แอปพลิเคชัน Workdocs Drive และ Workdocs Companion ไม่ได้รับผลกระทบจากปัญหานี้
Amazon Timestream
Amazon Timestream ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon DocumentDB
ตั้งแต่วันที่ 13 ธันวาคม 2021 Amazon DocumentDB ได้รับการแพตช์เพื่อบรรเทาปัญหา Log4j ที่มีการอ้างอิงใน CVE-2021-44228
Amazon CloudWatch
บริการของ Amazon CloudWatch ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
AWS Secrets Manager
AWS Secrets Manager ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon Single Sign-On
บริการของ Amazon Single Sign-On ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon RDS Oracle
Amazon RDS Oracle มี Log4j2 เวอร์ชันอัปเดตที่ใช้อยู่ในบริการ การเข้าถึงอินสแตนซ์ RDS ยังคงถูกจำกัดไว้โดย VPC ของคุณและการควบคุมความปลอดภัยอื่นๆ เช่น กลุ่มความปลอดภัยและ Access Control List (ACL) ของเครือข่าย เราขอแนะนำเป็นอย่างยิ่งให้คุณตรวจสอบการตั้งค่าเหล่านี้เพื่อรับรองถึงการจัดการการเข้าถึงอย่างถูกต้องให้กับอินสแตนซ์ RDS ของคุณ
ตาม เอกสารสนับสนุน 2827611.1 ของ Oracle ฐานข้อมูลของ Oracle ไม่ได้รับผลกระทบจากปัญหานี้
Amazon Cloud Directory
Amazon Cloud Directory ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon Simple Queue Service (SQS)
Amazon Simple Queue Service (SQS) ดำเนินการแพตช์สำหรับปัญหาของ Apache Log4j2 (CVE-2021-44228) สำหรับการนำเข้าและส่งออกข้อมูลของ SQS เสร็จสมบูรณ์แล้วเมื่อวันที่ 13 ธันวาคม 2021 นอกจากนี้ เรายังได้ดำเนินการแพตช์ระบบอื่นๆ ทั้งหมดของ SQS ที่ใช้ Log4j2 เสร็จสมบูรณ์แล้วอีกด้วย
AWS KMS
AWS KMS ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon Redshift
คลัสเตอร์ Amazon Redshift ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 โดยอัตโนมัติ
AWS Lambda
AWS Lambda ไม่ได้รวม Log4j2 ลงในรันไทม์ที่มีการจัดการหรืออิมเมจคอนเทนเนอร์พื้นฐาน ดังนั้นจึงไม่ได้รับผลกระทบจากปัญหาที่อธิบายไว้ใน CVE-2021-44228 และ CVE-2021-45046
สำหรับกรณีที่ฟังก์ชันของลูกค้ามี Log4j2 เวอร์ชันที่ได้รับผลกระทบ เราได้ปรับใช้การเปลี่ยนแปลงกับรันไทม์ที่จัดการด้วย Java ของ Lambda และอิมเมจคอนเทนเนอร์พื้นฐาน (Java 8, Java 8 บน AL2 และ Java 11) ซึ่งช่วยบรรเทาปัญหาใน CVE-2021-44228 และ CVE-2021-45046 โดยจะมีการปรับใช้โดยอัตโนมัติสำหรับลูกค้าที่ใช้รันไทม์ที่มีกาจัดการ ลูกค้าที่ใช้อิมเมจคอนเทนเนอร์จำเป็นต้องสร้างขึ้นมาใหมจากอิมเมจคอนเทนเนอร์พื้นฐานล่าสุดและติดตั้งอีกครั้ง
เราขอแนะนำเป็นอย่างยิ่งให้ลูกค้าทุกคนที่ใช้ฟังก์ชันซึ่งมี Log4j2 อัปเดตเป็นเวอร์ชันล่าสุดโดยไม่คำนึงถึงการเปลี่ยนแปลงนี้ โดยเฉพาะอย่างยิ่ง ลูกค้าที่ใช้ไลบรารี aws-lambda-java-log4j2 ในฟังก์ชันของตนควรอัปเดตเป็นเวอร์ชัน 1.4.0 แล้วติดตั้งฟังก์ชันอีกครั้ง โดยเวอร์ชันนี้จะอัปเดตการพึ่งพายูทิลิตี Log4j2 พื้นฐานเป็นเวอร์ชัน 2.16.0 ไบนารี aws-lambda-java-log4j2 ที่อัปเดตพร้อมให้บริการแล้วที่คลัง Maven และมีซอร์สโค้ดพร้อมให้บริการบน Github
AWS ตระหนักถึงปัญหาด้านความปลอดภัยที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้เกี่ยวกับยูทิลิตี "Log4j2" ของ Apache แบบโอเพนซอร์ส (CVE-2021-44228)
การตอบสนองต่อปัญหาด้านความปลอดภัยเช่นนี้แสดงให้เห็นถึงคุณค่าของการมีเทคโนโลยีเชิงป้องกันแบบหลายเลเยอร์ ซึ่งสำคัญต่อการรักษาความปลอดภัยของข้อมูลและปริมาณงานของลูกค้า เราให้ความสำคัญกับปัญหานี้อย่างมาก และทีมวิศวกรระดับโลกของเรากำลังทำงานเพื่อหาวิธีตอบสนองและการแก้ไขอย่างต่อเนื่อง เราหวังเป็นอย่างยิ่งที่จะสามารถกู้คืนการป้องกันเชิงลึกอย่างเต็มรูปแบบของเรากลับมาได้โดยเร็ว
เรายังคงแนะนำให้ลูกค้าของเราดำเนินการอัปเดตแอปพลิเคชันและบริการทั้งหมดโดยการแพตช์ปัญหาที่รู้จักเช่นในกรณีนี้อย่างต่อเนื่องเพื่อปฏิบัติตามคำแนะนำด้าน Well Architected ของเรา
ดูข้อมูลเพิ่มเติมแบบเฉพาะบริการได้ที่ด้านล่าง หากคุณต้องการรายละเอียดเพิ่มเติมหรือความช่วยเหลือ โปรดติดต่อ AWS Support
Amazon API Gateway
ตั้งแต่วันที่ 13 ธันวาคม 2021 โฮสต์ของ Amazon API Gateway ได้รับการแพตช์เพื่อบรรเทาปัญหา Log4j ที่มีการอ้างอิงใน CVE-2021-44228
Amazon CloudFront
บริการของ Amazon CloudFront ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 บริการด้านการจัดการคำขอของ CloudFront ที่ทำงานบน POP ของเราไม่ได้เขียนด้วยภาษา Java ดังนั้นจึงไม่ได้รับผลกระทบจากปัญหานี้
Amazon Connect
บริการของ Amazon Connect ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon DynamoDB
Amazon DynamoDB และ Amazon DynamoDB Accelerator (DAX) ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon EC2
Log4j เวอร์ชันที่พร้อมใช้งานในคลัง Amazon Linux 1 และ Amazon Linux 2 ไม่ได้รับผลกระทบจาก CVE-2021-44228 ดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตซอฟต์แวร์ที่เกี่ยวข้องกับความปลอดภัยสำหรับ Amazon Linux ได้ที่ศูนย์ความปลอดภัยของ Amazon Linux
Amazon ElastiCache
กลไกจัดการ Redis ของ Amazon ElastiCache ไม่ได้รวม Log4j2 ลงในรันไทม์ที่มีการจัดการหรืออิมเมจคอนเทนเนอร์พื้นฐาน Amazon ElastiCache ทำการแพตช์ปัญหาของ Apache Log4j2 (CVE-2021-44228) เสร็จสมบูรณ์ในวันที่ 12 ธันวาคม 2021
Amazon EMR
CVE-2021-44228 ส่งผลกระทบต่อ Apache Log4j เวอร์ชันที่อยู่ระหว่าง 2.0 ถึง 2.14.1 เมื่อประมวลผลอินพุตจากแหล่งที่มาที่ไม่น่าเชื่อถือ คลัสเตอร์ EMR ที่เปิดใช้ด้วยรุ่น EMR 5 และ EMR 6 จะรวมเฟรมเวิร์กแบบโอเพนซอร์ส เช่น Apache Hive, Apache Flink, HUDI, Presto และ Trino ไว้ด้วย ซึ่งใช้ Apache Log4j ในเวอร์ชันเหล่านี้ เมื่อคุณเปิดใช้คลัสเตอร์ที่มีการกำหนดค่าเริ่มต้นของ EMR คลัสเตอร์ดังกล่าวจะไม่ประมวลผลอินพุตจากแหล่งที่มาที่ไม่น่าเชื่อถือ
เรากำลังพยายามอย่างแข็งขันในการสร้างการอัปเดตที่ช่วยบรรเทาปัญหาซึ่งระบุไว้ใน CVE-2021-44228 เมื่อเฟรมเวิร์กแบบโอเพนซอร์สที่ติดตั้งบนคลัสเตอร์ EMR ของคุณประมวลผลข้อมูลจากแหล่งที่มาที่ไม่น่าเชื่อถือ
AWS IoT SiteWise Edge
อัปเดตสำหรับองค์ประกอบ AWS IoT SiteWise Edge ทั้งหมดที่ใช้ Log4j พร้อมให้ติดตั้งในวันที่ 13/12/2021 องค์ประกอบเหล่านี้ได้แก่: ตัวรวบรวม OPC-UA (v2.0.3) ชุดประมวลผลข้อมูล (v2.0.14) และผู้เผยแพร่ (v2.0.2) AWS ขอแนะนำให้ลูกค้าที่ใช้องค์ประกอบเหล่านี้ปรับใช้เวอร์ชันล่าสุดลงในเกตเวย์ SiteWise Edge ของตน
Amazon Keyspaces (for Apache Cassandra)
Amazon Keyspaces (for Apache Cassandra) ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon Kinesis Data Analytics
Apache Flink เวอร์ชันที่ Amazon Kinesis Data Analytics สนับสนุนนั้นรวม Apache Log4j เวอร์ชันที่อยู่ระหว่าง 2.0 ถึง 2.14.1 เอาไว้ด้วย แอปพลิเคชันต่างๆ ของ Kinesis Data Analytics ดำเนินการในสภาพแวดล้อมแบบแยกเป็นอิสระที่มีผู้เช่ารายเดียว และไม่สามารถโต้ตอบกันได้
เรากำลังอัปเดตเวอร์ชันของ Log4j ที่พร้อมใช้งานกับแอปพลิเคชันของลูกค้า Kinesis Data Analytics ในรีเจี้ยนทั้งหมดของ AWS แอปพลิเคชันที่เริ่มหรืออัปเดตหลังจากเวลา 18.30 น. ตามเวลา PST ของวันที่ 12/12/2021 จะได้รับแพตช์ที่อัปเดตแล้วโดยอัตโนมัติ ลูกค้าที่เริ่มหรืออัปเดตแอปพลิเคชันก่อนหน้านั้นสามารถตรวจสอบให้แน่ใจว่าแอปพลิเคชันของตนทำงานบน Log4j เวอร์ชันที่อัปเดตแล้วได้โดยการเรียกใช้ UpdateApplication API ของ Kinesis Data Analytics ข้อมูลเพิ่มเติมเกี่ยวกับ UpdateApplication API มีอยู่ในเอกสารประกอบของบริการ
Amazon Kinesis Data Streams
เรากำลังดำเนินการแพตช์ระบบย่อยทั้งหมดที่ใช้ Log4j2 โดยการอัปเดต Kinesis Client Library (KCL) เวอร์ชัน 2.X และ Kinesis Producer Library (KPL) ไม่ได้รับผลกระทบ เราได้ปล่อยเวอร์ชันอัปเดตสำหรับลูกค้าที่ใช้ KCL 1.x และขอแนะนำเป็นอย่างยิ่งให้ลูกค้าที่ใช้ KCL เวอร์ชัน 1.x ทั้งหมดอัปเดตเป็น KCL เวอร์ชัน 1.14.5 (ขึ้นไป) ซึ่งพร้อมให้บริการที่นี่
Amazon Managed Streaming for Apache Kafka (MSK)
เราตระหนักถึงปัญหาที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้ (CVE-2021-44228) ซึ่งเกี่ยวข้องกับไลบรารี Apache Log4j2 และกำลังนำการอัปเดตมาใช้ตามความจำเป็น โปรดทราบว่ารุ่นของ Apache Kafka และ Apache Zookeeper ที่นำเสนอใน MSK ใช้ Log4j 1.2.17 อยู่ในปัจจุบัน ซึ่งไม่ได้รับผลกระทบจากปัญหานี้ องค์ประกอบบริการแบบเฉพาะ MSK บางรายการใช้ไลบรารี Log4j > 2.0.0 และกำลังได้รับการแพตช์ตามความจำเป็น
Amazon Managed Workflows for Apache Airflow (MWAA)
MWAA มีข้อควรพิจารณาสองประการเกี่ยวกับปัญหาที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้ (CVE-2021-44228) ซึ่งเกี่ยวข้องกับไลบรารี Apache Log4j2 โดยประการแรกคือโค้ดบริการของ Amazon MWAA (เฉพาะเจาะจง AWS) ส่วนประการที่สองคือโค้ดแบบโอเพนซอร์ส (Apache Airflow)
ณ วันที่ 14 ธันวาคม 2021 เราได้ดำเนินการอัปเดตทั้งหมดที่จำเป็นให้กับโค้ดบริการของ MWAA เพื่อจัดการปัญหานี้ Apache Airflow ไม่ได้ใช้ Log4j2 และไม่ได้รับผลกระทบจากปัญหานี้
เราขอแนะนำเป็นอย่างยิ่งให้ลูกค้าที่เพิ่ม Log4j2 ลงในสภาพแวดล้อมของตนอัปเดตเป็นเวอร์ชันล่าสุด
Amazon MemoryDB for Redis
Amazon MemoryDB for Redis ทำการแพตช์ปัญหาของ Apache Log4j2 (CVE-2021-44228) เสร็จสมบูรณ์ในวันที่ 12 ธันวาคม 2021
Amazon MQ
Amazon MQ มีข้อควรพิจารณาสองประการเกี่ยวกับปัญหาที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้ (CVE-2021-44228) ซึ่งเกี่ยวข้องกับไลบรารี Apache Log4j2 โดยประการแรกคือโค้ดบริการของ Amazon MQ (เฉพาะเจาะจง AWS) ส่วนประการที่สองคือโค้ดแบบโอเพนซอร์ส (ตัวรับส่งข้อความของ Apache ActiveMQ และ RabbitMQ)
ณ วันที่ 13 ธันวาคม 2021 เราได้ดำเนินการอัปเดตทั้งหมดที่จำเป็นให้กับโค้ดบริการของ Amazon MQ เพื่อจัดการปัญหานี้
สำหรับตัวรับส่งข้อความแบบโอเพนซอร์ส ไม่จำเป็นต้องทำการอัปเดตใดๆ Apache ActiveMQ ทุกเวอร์ชันที่นำเสนอใน Amazon MQ ใช้ Log4j เวอร์ชัน 1.2.x ซึ่งไม่ได้รับผลกระทบจากปัญหานี้ RabbitMQ ไม่ได้ใช้ Log4j และไม่ได้รับผลกระทบจากปัญหานี้
Amazon Neptune
คลัสเตอร์ Amazon Neptune ทั้งหมดที่ใช้งานอยู่จะได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 โดยอัตโนมัติ
Amazon OpenSearch Service
Amazon OpenSearch Service ได้ปล่อยการอัปเดตซอฟต์แวร์บริการที่สำคัญในเวอร์ชัน R20211203-P2 ซึ่งประกอบด้วย Log4j2 เวอร์ชันอัปเดตในทุกรีเจี้ยน เราขอแนะนำเป็นอย่างยิ่งให้ลูกค้าอัปเดตคลัสเตอร์ OpenSearch ของตนเป็นรุ่นนี้โดยเร็วที่สุด
Amazon RDS
Amazon RDS และ Amazon Aurora กำลังจัดการปัญหาอย่างแข็งขันกับบริการทั้งหมดที่ใช้ Log4j2 โดยการนำการอัปเดตต่างๆ มาใช้ กลไกฐานข้อมูลเชิงสัมพันธ์ที่สร้างบน RDS ไม่ได้รวมไลบรารี Apache Log4j2 เอาไว้ด้วย ในส่วนที่มีผู้จำหน่ายต้นน้ำมาเกี่ยวข้อง เราจะนำการบรรเทาที่ผู้จำหน่ายแนะนำมาใช้ โดยในระหว่างการอัปเดตองค์ประกอบภายใน ลูกค้าอาจพบว่าเหตุการณ์มีความไม่ต่อเนื่อง
Amazon S3
Amazon S3 ดำเนินการแพตช์สำหรับปัญหาของ Apache Log4j2 (CVE-2021-44228) สำหรับการนำเข้าและส่งออกข้อมูลของ S3 เสร็จสมบูรณ์แล้วเมื่อวันที่ 11 ธันวาคม 2021 นอกจากนี้ เรายังได้ดำเนินการแพตช์ระบบอื่นๆ ทั้งหมดของ S3 ที่ใช้ Log4j2 เสร็จสมบูรณ์แล้วอีกด้วย
Amazon Simple Notification Service (SNS)
ระบบ Amazon SNS ที่ให้บริการรับส่งข้อมูลของลูกค้าได้รับการแพตช์สำหรับปัญหา Log4j2 แล้ว เรากำลังดำเนินการเพื่อนำแพตช์ Log4j2 มาใช้กับระบบย่อยที่ทำงานแยกต่างหากจากระบบของ SNS ที่ให้บริการรับส่งข้อมูลของลูกค้า
Amazon Simple Workflow Service (SWF)
Amazon Simple Workflow Service (SWF) ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
AWS CloudHSM
AWS CloudHSM JCE SDK เวอร์ชันที่เก่ากว่า 3.4.1 ประกอบด้วย Apache Log4j เวอร์ชันที่ได้รับผลกระทบจากปัญหานี้ เมื่อวันที่ 10 ธันวาคม 2021 CloudHSM ได้เผยแพร่ JCE SDK v3.4.1 โดยมี Apache Log4j เวอร์ชันที่แก้ไขแล้ว หากคุณใช้ CloudHSM JCE เวอร์ชันที่เก่ากว่า 3.4.1 คุณอาจได้รับผลกระทบและควรบรรเทาปัญหาดังกล่าวโดยการอัปเกรด CloudHSM JCE SDK เป็นเวอร์ชัน 3.4.1 หรือสูงกว่า
AWS Elastic Beanstalk
AWS Elastic Beanstalk ติดตั้ง Log4j จากคลังแพคเกจเริ่มต้นของ Amazon Linux ในแพลตฟอร์ม Tomcat สำหรับ Amazon Linux 1 และ Amazon Linux 2 Log4j เวอร์ชันที่พร้อมใช้งานในคลัง Amazon Linux 1 และ Amazon Linux 2 ไม่ได้รับผลกระทบจาก CVE-2021-44228
หากคุณได้ทำการเปลี่ยนแปลงการกำหนดค่าสำหรับการใช้งาน Log4j ของแอปพลิเคชันของคุณ เราขอแนะนำให้คุณดำเนินการเพื่ออัปเดตโค้ดของแอปพลิเคชันเพื่อบรรเทาปัญหานี้
ตามแนวทางปฏิบัติทั่วไปของเรา หากมีการเผยแพร่เวอร์ชันที่มีแพตช์ของเวอร์ชันคลังแพคเกจเริ่มต้นเหล่านี้ Elastic Beanstalk จะรวมเวอร์ชันที่มีแพตช์ลงในการเผยแพร่เวอร์ชันบนแพลตฟอร์ม Tomcat ครั้งถัดไปสำหรับ Amazon Linux 1 และ Amazon Linux 2
ดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตซอฟต์แวร์ที่เกี่ยวข้องกับความปลอดภัยสำหรับ Amazon Linux ได้ที่ศูนย์ความปลอดภัยของ Amazon Linux
AWS Glue
AWS Glue ตระหนักถึงปัญหาด้านความปลอดภัยที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้เกี่ยวกับยูทิลิตี “Log4j2" ของ Apache แบบโอเพนซอร์ส (CVE-2021-44228) เราได้อัปเดตฟลีตชั้นการควบคุมของเราที่ให้บริการ AWS Glue API สำหรับ Glue ทุกเวอร์ชันที่สนับสนุน
AWS Glue สร้างสภาพแวดล้อมใหม่ของ Spark ที่แยกเป็นอิสระจากสภาพแวดล้อม Spark อื่นๆ ทั้งหมด ณ ระดับการจัดการและเครือข่ายภายในบัญชีบริการ AWS Glue งาน ETL ของคุณจะได้รับการดำเนินการในสภาพแวดล้อมแบบมีผู้เช่ารายเดียว หากคุณอัปโหลดไฟล์ jar ที่กำหนดเองเพื่อใช้ในงาน ETL หรือตำแหน่งข้อมูลการพัฒนาซึ่งมี Apache Log4j ในเวอร์ชันเฉพาะ เราขอแนะนำให้คุณอัปเดต jar ของคณเพื่อใช้ Apache Log4j เวอร์ชันล่าสุด
นอกจากนี้ AWS Glue ยังนำการอัปเดตต่างๆ มาใช้อย่างเร่งด่วนกับสภาพแวดล้อมใหม่ของ Spark ทั่วทุกรีเจี้ยนที่สนับสนุน หากคุณมีข้อสงสัยหรือต้องการความช่วยเหลือเพิ่มเติม โปรดติดต่อ AWS Support
AWS Greengrass
การอัปเดตสำหรับองค์ประกอบทั้งหมดของ AWS Greengrass V2 ที่ใช้ Log4j พร้อมสำหรับการปรับใช้งานได้ ณ วันที่ 10/12/2021 องค์ประกอบเหล่านี้ ได้แก่ Stream Manager (2.0.14) และ Secure Tunneling (1.0.6) AWS ขอแนะนำให้ลูกค้าที่ใช้องค์ประกอบของ Greengrass เหล่านี้ปรับใช้เวอร์ชันล่าสุดลงในอุปกรณ์ของตน
คุณสมบัติ Stream Manager ของ Greengrass เวอร์ชัน 1.10.x และ 1.11.x ใช้ Log4j การอัปเดตสำหรับคุณสมบัติ Stream Manager รวมอยู่ในแพตช์ Greengrass เวอร์ชัน 1.10.5 และ 1.11.5 ซึ่งทั้งสองเวอร์ชันพร้อมใช้งาน ณ วันที่ 12/12/2021 เราขอแนะนำเป็นอย่างยิ่งให้ลูกค้าที่มีเวอร์ชัน 1.10.x และ 1.11.x ซึ่งเปิดใช้งาน Stream Manager บนอุปกรณ์ (หรืออาจเปิดใช้งานในอนาคต) ทำการอัปเดตอุปกรณ์ของตนเป็นเวอร์ชันล่าสุด
AWS Lake Formation
โฮสต์บริการของ AWS Lake Formation กำลังได้รับการอัปเดตเป็น Log4j เวอร์ชันล่าสุดเพื่อจัดการกับปัญหาซึ่งพบในเวอร์ชันที่อ้างอิงถึงใน CVE-2021-44228
AWS Lambda
AWS Lambda ไม่ได้รวม Log4j2 ลงในรันไทม์ที่มีการจัดการหรืออิมเมจคอนเทนเนอร์พื้นฐาน ดังนั้นจึงไม่ได้รับผลกระทบจากปัญหาที่อธิบายไว้ใน CVE-2021-44228 ลูกค้าที่ใช้ไลบรารี aws-lambda-java-log4j2 ในฟังก์ชันของตนจะต้องอัปเดตเป็นเวอร์ชัน 1.3.0 แล้วปรับใช้อีกครั้ง
AWS SDK
AWS SDK สำหรับ Java ใช้หน้าด่านการบันทึก และไม่มีการขึ้นต่อกันของรันไทม์กับ Log4j ขณะนี้ เราเชื่อว่ายังไม่จำเป็นต้องทำการเปลี่ยนแปลงใดๆ กับ AWS SDK สำหรับ Java เกี่ยวกับปัญหานี้
AWS Step Functions
AWS Step Functions ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
AWS Web Application Firewall (WAF)
เพื่อปรับปรุงการตรวจจับและการบรรเทาปัญหาที่เกี่ยวข้องกับปัญหาด้านความปลอดภัยของ Log4j security ให้ดียิ่งขึ้น ลูกค้า CloudFront, Application Load Balancer (ALB), API Gateway และ AppSync สามารถเลือกเปิดใช้งาน AWS WAF และใช้กฎที่มีการจัดการของ AWS (AMR) ได้ดังนี้: AWSManagedRulesKnownBadInputsRuleSet และ AWSManagedRulesAnonymousIpList
AWSManagedRulesKnownBadInputsRuleSet ตรวจสอบ uri คำขอ, เนื้อหา และส่วนหัวที่ใช้โดยทั่วไป ในขณะที่ AWSManagedRulesAnonymousIpList ช่วยบล็อกคำขอที่มาจากบริการซึ่งอนุญาตให้มีการสร้างความซับซ้อนกับตัวตนของผู้ชม คุณสามารถปรับใช้กฎเหล่านี้ได้โดยการสร้าง ACL ของเว็บสำหรับ AWS WAF การเพิ่มชุดกฎหนึ่งรายการขึ้นไปใน ACL ของเว็บ แล้วเชื่อมโยง ACL ของเว็บกับ Distribution ของ CloudFront, ALB, API Gateway หรือ AppSync GraphQL API
เราทำซ้ำกลุ่มกฎ AWSManagedRulesKnownBadInputsRuleSet อย่างต่อเนื่องในขณะที่เราเรียนรู้ โปรดเลือกเวอร์ชันเริ่มต้นเพื่อรับการอัปเดตอัตโนมัติสำหรับ AWSManagedRulesKnownBadInputsRuleSet สำหรับลูกค้าที่ใช้ AWS WAF Classic คุณจำเป็นต้องย้ายข้อมูลไปยัง AWS WAF หรือสร้างเงื่อนไขการจับคู่ regex แบบกำหนดเอง ลูกค้าสามารถใช้ AWS Firewall Manager ซึ่งให้คุณสามารถกำหนดค่าให้กับกฎ AWS WAF ระหว่างบัญชีและทรัพยากรของ AWS หลายแห่งจากที่เดียว คุณสามารถจัดกลุ่มให้กับกฎ สร้างนโยบาย และปรับใช้นโยบายดังกล่าวกับโครงสร้างพื้นฐานของคุณทั้งหมดได้จากจุดศูนย์กลาง
NICE
เนื่องจาก CVE ในไลบรารี Apache Log4j ซึ่งรวมอยู่ใน EnginFrame ตั้งแต่เวอร์ชัน 2020.0 ถึง 2021.0-r1307 ทาง NICE จึงขอแนะนำให้คุณอัปเกรดเป็น EnginFrame เวอร์ชันล่าสุดหรืออัปเดตไลบรารี Log4j ในการติดตั้ง EnginFrame ของคุณโดยทำตามคำแนะนำบนเว็บไซต์การสนับสนุน
หากมีข้อสงสัยใดๆ โปรดติดต่อเรา
AWS ตระหนักถึงปัญหาด้านความปลอดภัยที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้เกี่ยวกับยูทิลิตี "Log4j2" ของ Apache แบบโอเพนซอร์ส (CVE-2021-44228) เรากำลังเฝ้าติดตามปัญหานี้อย่างแข็งขัน และกำลังพยายามจัดการกับปัญหาให้กับบริการต่างๆ ของ AWS ซึ่งใช้ Log4j2 หรือมอบ Log4j2 ให้แก่ลูกค้าเพื่อเป็นส่วนหนึ่งของบริการของตน
เราสนับสนุนเป็นอย่างยิ่งให้ลูกค้าที่จัดการสภาพแวดล้อมที่มี Log4j2 ทำการอัปเดตเป็นเวอร์ชันล่าสุด หรือใช้กลไกการอัปเดตซอฟต์แวร์ของระบบปฏิบัติการของตน ดูข้อมูลเพิ่มเติมแบบเฉพาะบริการได้ที่ด้านล่าง
หากคุณต้องการรายละเอียดเพิ่มเติมหรือความช่วยเหลือ โปรดติดต่อ AWS Support
S3
S3 ดำเนินการแพตช์สำหรับปัญหาของ Apache Log4j2 (CVE-2021-44228) สำหรับการนำเข้าและส่งออกข้อมูลของ S3 เสร็จสมบูรณ์แล้วเมื่อวันที่ 11 ธันวาคม 2021 นอกจากนี้ เรายังได้ดำเนินการแพตช์ระบบอื่นๆ ทั้งหมดของ S3 ที่ใช้ Log4j2 เสร็จสมบูรณ์แล้วอีกด้วย
Amazon OpenSearch
Amazon OpenSearch Service กำลังปรับใช้การอัปเดตซอฟต์แวร์บริการเวอร์ชัน R20211203-P2 ซึ่งประกอบด้วย Log4j2 เวอร์ชันอัปเดต เราจะแจ้งให้ลูกค้าทราบเมื่อการอัปเดตดังกล่าวพร้อมใช้งานในรีเจี้ยนของลูกค้า และจะอัปเดตกระดานข่าวนี้เมื่อพร้อมใช้งานทั่วโลก
AWS Lambda
AWS Lambda ไม่ได้รวม Log4j2 ลงในรันไทม์ที่มีการจัดการหรืออิมเมจคอนเทนเนอร์พื้นฐาน ดังนั้นจึงไม่ได้รับผลกระทบจากปัญหาที่อธิบายไว้ใน CVE-2021-44228 ลูกค้าที่ใช้ไลบรารี aws-lambda-java-log4j2 ในฟังก์ชันของตนจะต้องอัปเดตเป็นเวอร์ชัน 1.3.0 แล้วปรับใช้อีกครั้ง
AWS CloudHSM
CloudHSM JCE SDK เวอร์ชันที่เก่ากว่า 3.4.1 ประกอบด้วย Apache Log4j เวอร์ชันที่ได้รับผลกระทบจากปัญหานี้ เมื่อวันที่ 10 ธันวาคม 2021 CloudHSM ได้เผยแพร่ JCE SDK v3.4.1 โดยมี Apache Log4j เวอร์ชันที่แก้ไขแล้ว หากคุณใช้ CloudHSM JCE เวอร์ชันที่เก่ากว่า 3.4.1 คุณอาจได้รับผลกระทบและควรบรรเทาปัญหาดังกล่าวโดยการอัปเกรด CloudHSM JCE SDK เป็นเวอร์ชัน 3.4.1 หรือสูงกว่า
Amazon EC2
Log4j เวอร์ชันที่พร้อมใช้งานในคลัง Amazon Linux 1 และ Amazon Linux 2 ไม่ได้รับผลกระทบจาก CVE-2021-44228 ดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตซอฟต์แวร์ที่เกี่ยวข้องกับความปลอดภัยสำหรับ Amazon Linux ได้ที่ศูนย์ความปลอดภัยของ Amazon Linux
API Gateway
เรากำลังอัปเดต API Gateway เพื่อใช้ Log4j2 เวอร์ชันที่บรรเทาปัญหานี้ ในระหว่างการอัปเดตเหล่านี้ คุณอาจพบว่าเวลาแฝงเพิ่มสูงขึ้นเป็นระยะสำหรับ API บางรายการ
AWS Greengrass
การอัปเดตสำหรับองค์ประกอบทั้งหมดของ Greengrass V2 ที่ใช้ Log4j พร้อมสำหรับการปรับใช้งานได้ ณ วันที่ 10/12/2021 องค์ประกอบเหล่านี้ ได้แก่ Stream Manager (2.0.14) และ Secure Tunneling (1.0.6) AWS ขอแนะนำให้ลูกค้าที่ใช้องค์ประกอบของ Greengrass เหล่านี้ปรับใช้เวอร์ชันล่าสุดลงในอุปกรณ์ของตน
คุณสมบัติ Stream Manager ของ Greengrass เวอร์ชัน 1.10.x และ 1.11.x ใช้ Log4j การอัปเดตสำหรับคุณสมบัติ Stream Manager รวมอยู่ในแพตช์ Greengrass เวอร์ชัน 1.10.5 และ 1.11.5 ซึ่งทั้งสองเวอร์ชันพร้อมใช้งาน ณ วันที่ 12/12/2021 เราขอแนะนำเป็นอย่างยิ่งให้ลูกค้าที่มีเวอร์ชัน 1.10.x และ 1.11.x ซึ่งเปิดใช้งาน Stream Manager บนอุปกรณ์ (หรืออาจเปิดใช้งานในอนาคต) ทำการอัปเดตอุปกรณ์ของตนเป็นเวอร์ชันล่าสุด
CloudFront
บริการของ CloudFront ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 บริการด้านการจัดการคำขอของ CloudFront ที่ทำงานบน POP ของเราไม่ได้เขียนด้วยภาษา Java ดังนั้นจึงไม่ได้รับผลกระทบจากปัญหานี้
Elastic Beanstalk
AWS Elastic Beanstalk ติดตั้ง Log4j จากคลังแพคเกจเริ่มต้นของ Amazon Linux ในแพลตฟอร์ม Tomcat สำหรับ Amazon Linux 1 และ Amazon Linux 2 Log4j เวอร์ชันที่พร้อมใช้งานในคลัง Amazon Linux 1 และ Amazon Linux 2 ไม่ได้รับผลกระทบจาก CVE-2021-44228
หากคุณได้ทำการเปลี่ยนแปลงการกำหนดค่าสำหรับการใช้งาน Log4j ของแอปพลิเคชันของคุณ เราขอแนะนำให้คุณดำเนินการเพื่ออัปเดตโค้ดของแอปพลิเคชันเพื่อบรรเทาปัญหานี้
ตามแนวทางปฏิบัติทั่วไปของเรา หากมีการเผยแพร่เวอร์ชันที่มีแพตช์ของเวอร์ชันคลังแพคเกจเริ่มต้นเหล่านี้ Elastic Beanstalk จะรวมเวอร์ชันที่มีแพตช์ลงในการเผยแพร่เวอร์ชันบนแพลตฟอร์ม Tomcat ครั้งถัดไปสำหรับ Amazon Linux 1 และ Amazon Linux 2
ดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตซอฟต์แวร์ที่เกี่ยวข้องกับความปลอดภัยสำหรับ Amazon Linux ได้ที่ศูนย์ความปลอดภัยของ Amazon Linux
EMR
CVE-2021-44228 ส่งผลกระทบต่อ Apache Log4j เวอร์ชันที่อยู่ระหว่าง 2.0 ถึง 2.14.1 เมื่อประมวลผลอินพุตจากแหล่งที่มาที่ไม่น่าเชื่อถือ คลัสเตอร์ EMR ที่เปิดใช้ด้วยรุ่น EMR 5 และ EMR 6 จะรวมเฟรมเวิร์กแบบโอเพนซอร์ส เช่น Apache Hive, Flink, HUDI, Presto และ Trino ไว้ด้วย ซึ่งใช้ Apache Log4j ในเวอร์ชันเหล่านี้ เมื่อคุณเปิดใช้คลัสเตอร์ที่มีการกำหนดค่าเริ่มต้นของ EMR คลัสเตอร์ดังกล่าวจะไม่ประมวลผลอินพุตจากแหล่งที่มาที่ไม่น่าเชื่อถือ
เรากำลังพยายามอย่างแข็งขันในการสร้างการอัปเดตที่ช่วยบรรเทาปัญหาซึ่งระบุไว้ใน CVE-2021-44228 เมื่อเฟรมเวิร์กแบบโอเพนซอร์สที่ติดตั้งบนคลัสเตอร์ EMR ของคุณประมวลผลข้อมูลจากแหล่งที่มาที่ไม่น่าเชื่อถือ
Lake Formation
โฮสต์บริการของ Lake Formation กำลังได้รับการอัปเดตอย่างเร่งด่วนเป็น Log4j เวอร์ชันล่าสุดเพื่อจัดการกับปัญหาด้านความปลอดภัยซึ่งพบในเวอร์ชันที่อ้างอิงถึงใน CVE-2021-44228
AWS SDK
AWS SDK สำหรับ Java ใช้หน้าด่านการบันทึก และไม่มีการขึ้นต่อกันของรันไทม์กับ log4j ขณะนี้ เราเชื่อว่ายังไม่จำเป็นต้องทำการเปลี่ยนแปลงใดๆ กับ AWS SDK สำหรับ Java เกี่ยวกับปัญหานี้
AMS
เรากำลังเฝ้าติดตามปัญหานี้อย่างแข็งขัน และกำลังพยายามจัดการกับปัญหาให้กับบริการใดๆ ของ AWS ซึ่งใช้ Log4j2 เราสนับสนุนเป็นอย่างยิ่งให้ลูกค้าที่จัดการสภาพแวดล้อมที่มี Log4j2 ทำการอัปเดตเป็นเวอร์ชันล่าสุด หรือใช้กลไกการอัปเดตซอฟต์แวร์ของระบบปฏิบัติการของตน
Amazon Neptune
Amazon Neptune รวมไลบรารี Apache Log4j2 เป็นองค์ประกอบพ่วง แต่เราเชื่อว่าปัญหานี้ไม่ได้ส่งผลกระทบต่อผู้ใช้ Neptune เพื่อป้องกันไว้ก่อน คลัสเตอร์ Neptune จะอัปเดตโดยอัตโนมัติเพื่อใช้ Log4j2 เวอร์ชันที่จัดการแก้ไขปัญหาดังกล่าว โดยในระหว่างการอัปเดต ลูกค้าอาจพบว่าเหตุการณ์มีความไม่ต่อเนื่อง
NICE
เนื่องจาก CVE ในไลบรารี Apache Log4j ซึ่งรวมอยู่ใน EnginFrame ตั้งแต่เวอร์ชัน 2020.0 ถึง 2021.0-r1307 ทาง NICE จึงขอแนะนำให้คุณอัปเกรดเป็น EnginFrame เวอร์ชันล่าสุด หรืออัปเดตไลบรารี Log4j ในการติดตั้ง EnginFrame ของคุณโดยทำตามคำแนะนำบนเว็บไซต์การสนับสนุน
หากมีข้อสงสัยใดๆ โปรดติดต่อเรา
Kafka
Managed Streaming for Apache Kafka ตระหนักถึงปัญหาที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้ (CVE-2021-44228) ซึ่งเกี่ยวข้องกับไลบรารี Apache Log4j2 และกำลังนำการอัปเดตมาใช้ตามความจำเป็น โปรดทราบว่ารุ่นของ Apache Kafka และ Apache Zookeeper ที่นำเสนอใน MSK ใช้ log4j 1.2.17 อยู่ในปัจจุบัน ซึ่งไม่ได้รับผลกระทบจากปัญหานี้ องค์ประกอบบริการแบบเฉพาะ MSK บางรายการใช้ไลบรารี log4j > 2.0.0 และกำลังได้รับการแพตช์ตามความจำเป็น
AWS Glue
AWS Glue ตระหนักถึงปัญหาด้านความปลอดภัยที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้เกี่ยวกับยูทิลิตี “Log4j2" ของ Apache แบบโอเพนซอร์ส (CVE-2021-44228) เราได้อัปเดตฟลีตชั้นการควบคุมของเราที่ให้บริการ AWS Glue API สำหรับ Glue ทุกเวอร์ชันที่สนับสนุน
AWS Glue สร้างสภาพแวดล้อมใหม่ของ Spark ที่แยกเป็นอิสระจากสภาพแวดล้อม Spark อื่นๆ ทั้งหมด ณ ระดับการจัดการและเครือข่ายภายในบัญชีบริการ AWS Glue งาน ETL ของคุณจะได้รับการดำเนินการในสภาพแวดล้อมแบบมีผู้เช่ารายเดียว หากงาน ETL ของคุณโหลด Apache Log4j เวอร์ชันที่เฉพาะเจาะจง เราขอแนะนำให้คุณอัปเดตสคริปต์เพื่อใช้ Apache Log4j เวอร์ชันล่าสุด หากคุณใช้ตำแหน่งข้อมูลการพัฒนาของ AWS Glue ในการเขียนสคริปต์ เราขอแนะนำให้คุณอัปเดตเวอร์ชันของ Log4j ที่คุณใช้ที่นั่นด้วยเช่นกัน
นอกจากนี้ AWS Glue ยังนำการอัปเดตต่างๆ มาใช้อย่างเร่งด่วนกับสภาพแวดล้อมใหม่ของ Spark ทั่วทุกรีเจี้ยนที่สนับสนุน หากคุณมีข้อสงสัยหรือต้องการความช่วยเหลือเพิ่มเติม โปรดติดต่อเราผ่าน AWS Support
RDS
Amazon RDS และ Amazon Aurora กำลังจัดการปัญหาอย่างแข็งขันกับบริการทั้งหมดที่ใช้ Log4j2 โดยการนำการอัปเดตต่างๆ มาใช้ กลไกฐานข้อมูลเชิงสัมพันธ์ที่สร้างบน RDS ไม่ได้รวมไลบรารี Apache Log4j เอาไว้ด้วย ในส่วนที่มีผู้จำหน่ายต้นน้ำมาเกี่ยวข้อง เราจะนำการบรรเทาที่ผู้จำหน่ายแนะนำมาใช้ โดยในระหว่างการอัปเดตองค์ประกอบภายใน ลูกค้าอาจพบว่าเหตุการณ์มีความไม่ต่อเนื่อง
Amazon Connect
บริการของ Amazon Connect ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon DynamoDB
Amazon DynamoDB และ Amazon DynamoDB Accelerator (DAX) ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon Keyspaces (for Apache Cassandra)
Amazon Keyspaces (for Apache Cassandra) ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228
Amazon MQ
Amazon MQ มีข้อควรพิจารณาสองประการเกี่ยวกับปัญหาที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้ (CVE-2021-44228) ซึ่งเกี่ยวข้องกับไลบรารี Apache Log4j2 โดยประการแรกคือโค้ดบริการของ Amazon MQ (เฉพาะเจาะจง AWS) ส่วนประการที่สองคือโค้ดแบบโอเพนซอร์ส (ตัวรับส่งข้อความของ Apache ActiveMQ และ RabbitMQ)
ณ วันที่ 13 ธันวาคม 2021 เราได้ดำเนินการอัปเดตทั้งหมดที่จำเป็นให้กับโค้ดบริการของ Amazon MQ เพื่อจัดการปัญหานี้
สำหรับตัวรับส่งข้อความแบบโอเพนซอร์ส ไม่จำเป็นต้องทำการอัปเดตใดๆ Apache ActiveMQ ทุกเวอร์ชันที่นำเสนอใน Amazon MQ ใช้ Log4j เวอร์ชัน 1.2.x ซึ่งไม่ได้รับผลกระทบจากปัญหานี้ RabbitMQ ไม่ได้ใช้ Log4j และไม่ได้รับผลกระทบจากปัญหานี้
Kinesis Data Analytics
Apache Flink เวอร์ชันที่ Kinesis Data Analytics สนับสนุนนั้นรวม Apache Log4j เวอร์ชันที่อยู่ระหว่าง 2.0 ถึง 2.14.1 เอาไว้ด้วย แอปพลิเคชันต่างๆ ของ Kinesis Data Analytics ดำเนินการในสภาพแวดล้อมแบบแยกเป็นอิสระที่มีผู้เช่ารายเดียว และไม่สามารถโต้ตอบกันได้
เรากำลังอัปเดตเวอร์ชันของ Log4j ที่พร้อมใช้งานกับแอปพลิเคชันของลูกค้า Kinesis Data Analytics ในรีเจี้ยนทั้งหมดของ AWS แอปพลิเคชันที่เริ่มหรืออัปเดตหลังจากเวลา 18.30 น. ตามเวลา PST ของวันที่ 12/12/2021 จะได้รับแพตช์ที่อัปเดตแล้วโดยอัตโนมัติ ลูกค้าที่เริ่มหรืออัปเดตแอปพลิเคชันก่อนหน้านั้นสามารถตรวจสอบให้แน่ใจว่าแอปพลิเคชันของตนทำงานบน Log4j เวอร์ชันที่อัปเดตแล้วได้โดยการเรียกใช้ UpdateApplication API ของ Kinesis Data Analytics โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับ UpdateApplication API
AWS ตระหนักถึงปัญหาด้านความปลอดภัยที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้เกี่ยวกับยูทิลิตี "Log4j2" ของ Apache แบบโอเพนซอร์ส (CVE-2021-44228) เรากำลังเฝ้าติดตามปัญหานี้อย่างแข็งขัน และกำลังพยายามจัดการกับปัญหาให้กับบริการต่างๆ ของ AWS ซึ่งใช้ Log4j2 หรือมอบ Log4j2 ให้แก่ลูกค้าเพื่อเป็นส่วนหนึ่งของบริการของตน
เราสนับสนุนเป็นอย่างยิ่งให้ลูกค้าที่จัดการสภาพแวดล้อมที่มี Log4j2 ทำการอัปเดตเป็นเวอร์ชันล่าสุด หรือใช้กลไกการอัปเดตซอฟต์แวร์ของระบบปฏิบัติการของตน
มีรายงานว่าการใช้ Log4j2 บน JDK หลังจาก 8u121 หรือ 8u191 (รวมถึง JDK 11 และใหม่กว่า) จะช่วยบรรเทาปัญหานี้ แต่ก็เป็นการบรรเทาเพียงส่วนหนึ่งเท่านั้น โซลูชันที่ครอบคลุมเพียงหนึ่งเดียวคือการอัปเกรด Log4j2 เป็นเวอร์ชัน 2.15 ส่วน Log4j2 เวอร์ชันที่เก่ากว่า 2.15 ควรถือว่าได้รับผลกระทบไม่ว่าจะใช้การเผยแพร่หรือเวอร์ชันใดของ JDK ก็ตาม
ดูข้อมูลเพิ่มเติมแบบเฉพาะบริการได้ที่ด้านล่าง
หากคุณต้องการรายละเอียดเพิ่มเติมหรือความช่วยเหลือ โปรดติดต่อ AWS Support
API Gateway
เรากำลังอัปเดต API Gateway เพื่อใช้ Log4j2 เวอร์ชันที่บรรเทาปัญหานี้ ในระหว่างการอัปเดตเหล่านี้ คุณอาจพบว่าเวลาแฝงเพิ่มสูงขึ้นเป็นระยะสำหรับ API บางรายการ
AWS Greengrass
การอัปเดตสำหรับองค์ประกอบทั้งหมดของ Greengrass V2 ที่ใช้ Apache Log4j2 พร้อมสำหรับการปรับใช้งานได้ ณ วันที่ 10/12/2021 องค์ประกอบเหล่านี้ ได้แก่ Stream Manager (2.0.14) และ Secure Tunneling (1.0.6) AWS ขอแนะนำให้ลูกค้าที่ใช้องค์ประกอบของ Greengrass เหล่านี้ปรับใช้เวอร์ชันล่าสุดลงในอุปกรณ์ของตน
การอัปเดตสำหรับ Greengrass เวอร์ชัน 1.10 และ 1.11 คาดว่าจะพร้อมใช้งานในวันที่ 17/12/2021 เราขอแนะนำให้ลูกค้าที่ใช้ Stream Manager บนอุปกรณ์เหล่านี้อัปเดตอุปกรณ์ของตนทันทีที่ไบนารีของ Greengrass พร้อมใช้งานสำหรับเวอร์ชันเหล่านี้ ในระหว่างนี้ ลูกค้าควรยืนยันว่าโค้ด Lambda แบบกำหนดเองของตนที่ใช้ Stream Manager บน Greengrass 1.10 หรือ 1.11 ไม่ได้ใช้ชื่อสตรีมและชื่อไฟล์ที่กำหนดเอง (สำหรับโปรแกรมส่งออกของ S3) ซึ่งอยู่นอกเหนือการควบคุมของลูกค้า เช่น ชื่อสตรีมหรือชื่อไฟล์ที่มีข้อความ “${"
Amazon MQ
Amazon MQ มีข้อควรพิจารณา 2 ประการเกี่ยวกับปัญหาที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้ (CVE-2021-44228) ซึ่งเกี่ยวข้องกับไลบรารี Apache Log4j2 โดยประการแรกคือโค้ดบริการของ Amazon MQ (เฉพาะเจาะจง AWS) ส่วนประการที่สองคือโค้ดแบบโอเพนซอร์ส (ตัวรับส่งข้อความของ Apache ActiveMQ และ RabbitMQ)
เรากำลังนำการอัปเดตทั้งหมดที่จำเป็นมาใช้กับโค้ดบริการของ Amazon MQ เพื่อจัดการปัญหานี้
สำหรับตัวรับส่งข้อความแบบโอเพนซอร์ส ไม่จำเป็นต้องทำการอัปเดตใดๆ Apache ActiveMQ ทุกเวอร์ชันที่นำเสนอใน Amazon MQ ใช้ Log4j เวอร์ชัน 1.x ซึ่งไม่ได้รับผลกระทบจากปัญหานี้ RabbitMQ ไม่ได้ใช้ Log4j2 และไม่ได้รับผลกระทบจากปัญหานี้
CloudFront
บริการของ CloudFront ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 บริการด้านการจัดการคำขอของ CloudFront ที่ทำงานบน POP ของเราไม่ได้เขียนด้วยภาษา Java ดังนั้นจึงไม่ได้รับผลกระทบจากปัญหานี้
AWS Elastic Beanstalk
AWS Elastic Beanstalk ติดตั้ง Log4j จากคลังแพคเกจเริ่มต้นของ Amazon Linux ในแพลตฟอร์ม Tomcat สำหรับ Amazon Linux 1 และ Amazon Linux 2 Log4j เวอร์ชันที่พร้อมใช้งานในคลัง Amazon Linux 1 และ Amazon Linux 2 ไม่ได้รับผลกระทบจาก CVE-2021-44228
หากคุณได้ทำการเปลี่ยนแปลงการกำหนดค่าสำหรับการใช้งาน Log4j ของแอปพลิเคชันของคุณ เราขอแนะนำให้คุณดำเนินการเพื่ออัปเดตโค้ดของแอปพลิเคชันเพื่อบรรเทาปัญหานี้
ตามแนวทางปฏิบัติทั่วไปของเรา หากมีการเผยแพร่เวอร์ชันที่มีแพตช์ของเวอร์ชันคลังแพคเกจเริ่มต้นเหล่านี้ Elastic Beanstalk จะรวมเวอร์ชันที่มีแพตช์ลงในการเผยแพร่เวอร์ชันบนแพลตฟอร์ม Tomcat ครั้งถัดไปสำหรับ Amazon Linux 1 และ Amazon Linux 2
ดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตซอฟต์แวร์ที่เกี่ยวข้องกับความปลอดภัยสำหรับ Amazon Linux ได้ที่ศูนย์ความปลอดภัยของ Amazon Linux
EMR
CVE-2021-44228 ส่งผลกระทบต่อ Apache Log4j เวอร์ชันที่อยู่ระหว่าง 2.0 ถึง 2.14.1 เมื่อประมวลผลอินพุตจากแหล่งที่มาที่ไม่น่าเชื่อถือ คลัสเตอร์ EMR ที่เปิดใช้ด้วยรุ่น EMR 5 และ EMR 6 จะรวมเฟรมเวิร์กแบบโอเพนซอร์ส เช่น Apache Hive, Flink, HUDI, Presto และ Trino ไว้ด้วย ซึ่งใช้ Apache Log4j ในเวอร์ชันเหล่านี้ เมื่อคุณเปิดใช้คลัสเตอร์ที่มีการกำหนดค่าเริ่มต้นของ EMR คลัสเตอร์ดังกล่าวจะไม่ประมวลผลอินพุตจากแหล่งที่มาที่ไม่น่าเชื่อถือ
เรากำลังพยายามอย่างแข็งขันในการสร้างการอัปเดตที่ช่วยบรรเทาปัญหาซึ่งระบุไว้ใน CVE-2021-44228 เมื่อเฟรมเวิร์กแบบโอเพนซอร์สที่ติดตั้งบนคลัสเตอร์ EMR ของคุณประมวลผลข้อมูลจากแหล่งที่มาที่ไม่น่าเชื่อถือ
Lake Formation
โฮสต์บริการของ Lake Formation กำลังได้รับการอัปเดตอย่างเร่งด่วนเป็น Log4j เวอร์ชันล่าสุดเพื่อจัดการกับปัญหาซึ่งพบในเวอร์ชันที่อ้างอิงถึงใน CVE-2021-44228
S3
การนำเข้าและส่งออกข้อมูลของ S3 ได้รับการแพตช์เพื่อรับมือกับปัญหาของ Log4j2 เรากำลังดำเนินการเพื่อนำแพตช์ Log4j2 มาใช้กับระบบของ S3 ที่ทำงานแยกต่างหากจากการนำเข้าและส่งออกข้อมูลของ S3
AWS SDK
AWS SDK สำหรับ Java ใช้หน้าด่านการบันทึก และไม่มีการขึ้นต่อกันของรันไทม์กับ Log4j ขณะนี้ เราเชื่อว่ายังไม่จำเป็นต้องทำการเปลี่ยนแปลงใดๆ กับ AWS SDK สำหรับ Java เกี่ยวกับปัญหานี้
AMS
เรากำลังเฝ้าติดตามปัญหานี้อย่างแข็งขัน และกำลังพยายามจัดการกับปัญหาให้กับบริการใดๆ ของ AWS ที่ใช้ Log4j2 เราสนับสนุนเป็นอย่างยิ่งให้ลูกค้าที่จัดการสภาพแวดล้อมที่มี Log4j2 ทำการอัปเดตเป็นเวอร์ชันล่าสุด หรือใช้กลไกการอัปเดตซอฟต์แวร์ของระบบปฏิบัติการของตน
AMS ขอแนะนำให้ปรับใช้ Web Application Firewall (WAF) สำหรับตำแหน่งข้อมูลของแอปพลิเคชันทั้งหมดที่เข้าถึงได้ผ่านอินเทอร์เน็ต บริการของ AWS WAF สามารถกำหนดค่าเพื่อให้มีเลเยอร์เพิ่มเติมในการป้องกันปัญหานี้ได้โดยการปรับใช้ชุดกฎ AWSManagedRulesAnonymousIpList (ซึ่งประกอบด้วยกฎที่จะบล็อกแหล่งที่มาที่ทราบกันว่าจะนำข้อมูลไคลเอ็นต์ออก เช่น โหนด TOR) และชุดกฎ AWSManagedRulesKnownBadInputsRuleSet (ซึ่งจะตรวจสอบ URI, เนื้อความคำขอ และส่วนหัวที่ใช้กันทั่วไป เพื่อช่วยบล็อกคำขอที่เกี่ยวข้องกับ Log4j และปัญหาอื่นๆ)
AMS จะคอยติดตามปัญหานี้ต่อไป และให้รายละเอียดและคำแนะนำเพิ่มเติมเมื่อมีข้อมูล
Amazon Neptune
Amazon Neptune รวมไลบรารี Apache Log4j2 เป็นองค์ประกอบพ่วง แต่เราเชื่อว่าปัญหานี้ไม่ได้ส่งผลกระทบต่อผู้ใช้ Neptune เพื่อป้องกันไว้ก่อน คลัสเตอร์ Neptune จะอัปเดตโดยอัตโนมัติเพื่อใช้ Log4j2 เวอร์ชันที่จัดการแก้ไขปัญหาดังกล่าว โดยในระหว่างการอัปเดต ลูกค้าอาจพบว่าเหตุการณ์มีความไม่ต่อเนื่อง
NICE
เนื่องจาก CVE ในไลบรารี Apache Log4j ซึ่งรวมอยู่ใน EnginFrame ตั้งแต่เวอร์ชัน 2020.0 ถึง 2021.0-r1307 ทาง NICE จึงขอแนะนำให้คุณอัปเกรดเป็น EnginFrame เวอร์ชันล่าสุด หรืออัปเดตไลบรารี Log4j ในการติดตั้ง EnginFrame ของคุณโดยทำตามคำแนะนำบนเว็บไซต์การสนับสนุน
หากมีข้อสงสัยใดๆ โปรดติดต่อเรา
Kafka
Managed Streaming for Apache Kafka ตระหนักถึงปัญหาที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้ (CVE-2021-44228) ซึ่งเกี่ยวข้องกับไลบรารี Apache Log4j2 และกำลังนำการอัปเดตมาใช้ตามความจำเป็น โปรดทราบว่ารุ่นของ Apache Kafka และ Apache Zookeeper ที่นำเสนอใน MSK ใช้ Log4j 1.2.17 อยู่ในปัจจุบัน ซึ่งไม่ได้รับผลกระทบจากปัญหานี้ องค์ประกอบบริการแบบเฉพาะ MSK บางรายการใช้ไลบรารี Log4j > 2.0.0 และกำลังได้รับการแพตช์ตามความจำเป็น
AWS Glue
AWS Glue ตระหนักถึงปัญหาด้านความปลอดภัยที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้เกี่ยวกับยูทิลิตี “Log4j2" ของ Apache แบบโอเพนซอร์ส (CVE-2021-44228) เราได้อัปเดตฟลีตชั้นการควบคุมของเราที่ให้บริการ AWS Glue API สำหรับ Glue ทุกเวอร์ชันที่สนับสนุน
AWS Glue สร้างสภาพแวดล้อมใหม่ของ Spark ที่แยกเป็นอิสระจากสภาพแวดล้อม Spark อื่นๆ ทั้งหมด ณ ระดับการจัดการและเครือข่ายภายในบัญชีบริการ AWS Glue งาน ETL ของคุณจะได้รับการดำเนินการในสภาพแวดล้อมแบบมีผู้เช่ารายเดียว หากงาน ETL ของคุณโหลด Apache Log4j เวอร์ชันที่เฉพาะเจาะจง เราขอแนะนำให้คุณอัปเดตสคริปต์เพื่อใช้ Apache Log4j เวอร์ชันล่าสุด หากคุณใช้ตำแหน่งข้อมูลการพัฒนาของ AWS Glue ในการเขียนสคริปต์ เราขอแนะนำให้คุณอัปเดตเวอร์ชันของ Log4j ที่คุณใช้ที่นั่นด้วยเช่นกัน
นอกจากนี้ AWS Glue ยังนำการอัปเดตต่างๆ มาใช้อย่างเร่งด่วนกับสภาพแวดล้อมใหม่ของ Spark ทั่วทุกรีเจี้ยนที่สนับสนุน หากคุณมีข้อสงสัยหรือต้องการความช่วยเหลือเพิ่มเติม โปรดติดต่อเราผ่าน AWS Support
RDS
Amazon RDS และ Amazon Aurora กำลังจัดการปัญหาอย่างแข็งขันกับบริการทั้งหมดที่ใช้ Log4j2 โดยการนำการอัปเดตต่างๆ มาใช้ กลไกฐานข้อมูลเชิงสัมพันธ์ที่สร้างบน RDS ไม่ได้รวมไลบรารี Apache Log4j เอาไว้ด้วย ในส่วนที่มีผู้จำหน่ายต้นน้ำมาเกี่ยวข้อง เราจะนำการบรรเทาที่ผู้จำหน่ายแนะนำมาใช้ โดยในระหว่างการอัปเดตองค์ประกอบภายใน ลูกค้าอาจพบว่าเหตุการณ์มีความไม่ต่อเนื่อง
OpenSearch
Amazon OpenSearch Service กำลังปรับใช้การอัปเดตซอฟต์แวร์บริการเวอร์ชัน R20211203-P2 ซึ่งประกอบด้วย Log4j2 เวอร์ชันอัปเดต เราจะแจ้งให้ลูกค้าทราบเมื่อการอัปเดตดังกล่าวพร้อมใช้งานในรีเจี้ยนของลูกค้า และจะอัปเดตกระดานข่าวนี้เมื่อพร้อมใช้งานทั่วโลก