AWS ตระหนักถึงปัญหาที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้เกี่ยวกับยูทิลิตี "Log4j2" ของ Apache แบบโอเพนซอร์ส (CVE-2021-44228 และ CVE-2021-45046)

การตอบสนองต่อปัญหาด้านความปลอดภัยเช่นนี้แสดงให้เห็นถึงคุณค่าของการมีเทคโนโลยีเชิงป้องกันแบบหลายเลเยอร์ ซึ่งสำคัญต่อการรักษาความปลอดภัยของข้อมูลและปริมาณงานของลูกค้า

เราให้ความสำคัญกับปัญหานี้อย่างมาก และทีมวิศวกรระดับโลกของเราได้ติดตั้งใช้ฮอตแพตช์ Java ที่ Amazon พัฒนาขึ้นซึ่งพร้อมใช้งานกับบริการของ AWS ทั้งหมดอย่างเต็มรูปแบบที่นี่ ซึ่งฮอตแพตช์นี้จะอัปเดต Java VM ให้ปิดใช้งานการโหลดคลาส Java Naming and Directory Interface (JNDI) โดยแทนที่ด้วยข้อความแจ้งเตือนที่ไม่เป็นอันตรายซึ่งบรรเทาปัญหาใน CVE-2021-44228 และ CVE-2021-45046  เราจะดำเนินการติดตั้งไลบรารี Log4j ที่อัปเดตกับบริการทั้งหมดของเราโดยเร็ว  สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับฮอตแพตช์ Java ได้ที่ https://thinkwithwp.com/blogs/security/open-source-hotpatch-for-apache-log4j-vulnerability/

แม้จะมีการติดตั้งฮอตแพตช์นี้แล้ว ลูกค้าจำเป็นต้องติดตั้งไลบรารี Log4j ที่อัปเดตโดยเร็วที่สุดเช่นเดียวกับที่เราดำเนินการบน AWS

สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีตรวจจับและแก้ไขปัญหา Log4j CVE โดยใช้บริการของ AWS โปรดอ่านบล็อกโพสต์ล่าสุดของเราที่นี่

ไม่มีการอัปเดตเฉพาะบริการเพิ่มเติมที่จำเป็นหลังจากกระดานข่าวนี้

หากคุณต้องการรายละเอียดเพิ่มเติมหรือความช่วยเหลือ โปรดติดต่อ AWS Support

Amazon Connect

Amazon Connect ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

เราขอแนะนำให้ลูกค้าประเมินองค์ประกอบของสภาพแวดล้อมของตนที่ไม่อยู่ในขอบเขตการให้บริการของ Amazon Connect (เช่น ฟังก์ขัน Lambda ที่เรียกใช้จากโฟลว์การติดต่อ) ซึ่งอาจจำเป็นต้องมีการแก้ไขปัญหาแยกออกไป/เพิ่มเติม

Amazon Chime

บริการของ Amazon Chime SDK ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 และ CVE-2021-45046

บริการของ Amazon Chime ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 และ CVE-2021-45046

Amazon EMR

CVE-2021-44228 ส่งผลกระทบต่อ Apache Log4j เวอร์ชันที่อยู่ระหว่าง 2.0 ถึง 2.14.1 เมื่อประมวลผลอินพุตจากแหล่งที่มาที่ไม่น่าเชื่อถือ คลัสเตอร์ EMR ที่เปิดใช้ด้วยรุ่น EMR 5 และ EMR 6 จะรวมเฟรมเวิร์กแบบโอเพนซอร์ส เช่น Apache Hive, Apache Flink, HUDI, Presto และ Trino ไว้ด้วย ซึ่งใช้ Apache Log4j ในเวอร์ชันเหล่านี้ เมื่อคุณเปิดใช้คลัสเตอร์ที่มีการกำหนดค่าเริ่มต้นของ EMR คลัสเตอร์ดังกล่าวจะไม่ประมวลผลอินพุตจากแหล่งที่มาที่ไม่น่าเชื่อถือ ลูกค้าหลายรายใช้เฟรมเวิร์กแบบโอเพนซอร์สที่ติดตั้งอยู่ในคลัสเตอร์ EMR ของตนเพื่อประมวลผลและอินพุตข้อมูลรายการบันทึกจากแหล่งที่ไม่น่าเชื่อถือ ดังนั้น AWS จึงขอแนะนำให้คุณใช้โซลูชันตามที่อธิบายไว้ที่นี่

Amazon Fraud Detector

บริการของ Amazon Fraud Detector ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon Kendra

Amazon Kendra ได้รับการอัปเดตเพื่อบรรเทาปัญหา CVE-2021-44228

Amazon Lex

Amazon Lex ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon Lookout for Equipment

Amazon Lookout for Equipment ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon Macie

บริการของ Amazon Macie ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon Macie Classic

บริการของ Amazon Macie Classic ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon Monitron

Amazon Monitron ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon RDS

Amazon RDS และ Amazon Aurora ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon Rekognition

บริการของ Amazon Rekognition ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon VPC

บริการของ Amazon VPC รวมถึงอินเทอร์เน็ตเกตเวย์และเกตเวย์เสมือนจริงได้รับการอัปเดตเพื่อบรรเทาปัญหา Log4j ที่อ้างอิงใน CVE-2021-44228

AWS AppSync

AWS AppSync ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 และ CVE-2021-45046

AWS Certificate Manager

บริการของ AWS Certificate Manager ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

บริการของ ACM Private CA ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

AWS Service Catalog

AWS Service Catalog ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

AWS Systems Manager

บริการของ AWS Systems Manager ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 Systems Manager Agent ไม่ได้รับผลกระทบจากปัญหานี้

AWS ตระหนักถึงปัญหาที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้เกี่ยวกับยูทิลิตี "Log4j2" ของ Apache แบบโอเพนซอร์ส (CVE-2021-44228 และ CVE-2021-45046)

การตอบสนองต่อปัญหาด้านความปลอดภัยเช่นนี้แสดงให้เห็นถึงคุณค่าของการมีเทคโนโลยีเชิงป้องกันแบบหลายเลเยอร์ ซึ่งสำคัญต่อการรักษาความปลอดภัยของข้อมูลและปริมาณงานของลูกค้า เราให้ความสำคัญกับปัญหานี้อย่างมาก และทีมวิศวกรระดับโลกของเรากำลังทำงานเพื่อหาวิธีตอบสนองและการแก้ไขอย่างต่อเนื่อง เราหวังเป็นอย่างยิ่งที่จะสามารถกู้คืนการป้องกันเชิงลึกอย่างเต็มรูปแบบของเรากลับมาได้โดยเร็ว

โดยหนึ่งในเทคโนโลยีที่เราพัฒนาขึ้นและติดตั้งใช้งานภายใน AWS อย่างครอบคลุมคือฮอตแพตช์สำหรับแอปพลิเคชันที่อาจมี Log4j ซึ่งฮอตแพตช์นี้จะอัปเดต Java VM ให้ปิดใช้งานการโหลดคลาส Java Naming and Directory Interface (JNDI) โดยแทนที่ด้วยข้อความแจ้งเตือนที่ไม่เป็นอันตรายซึ่งบรรเทาปัญหาใน CVE-2021-44228 และ CVE-2021-45046 อย่างมีประสิทธิภาพ

เรายังพร้อมให้บริการในแบบโซลูชันแบบโอเพนซอร์ส ซึ่งมีให้บริการที่นี่

แม้จะมีการติดตั้งฮอตแพตช์นี้แล้ว ลูกค้าจำเป็นต้องติดตั้งไลบรารี Log4j ที่อัปเดตโดยเร็วที่สุด

สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีตรวจจับและแก้ไขปัญหา Log4j CVE โดยใช้บริการของ AWS โปรดอ่านบล็อกโพสต์ล่าสุดของเราที่นี่

ดูข้อมูลเพิ่มเติมแบบเฉพาะบริการได้ที่ด้านล่าง หากคุณต้องการรายละเอียดเพิ่มเติมหรือความช่วยเหลือ โปรดติดต่อ AWS Support

Amazon EKS, Amazon ECS และ AWS Fargate

เพื่อช่วยบรรเทาผลกระทบของปัญหาด้านความปลอดภัยของยูทิลิตี "Log4j2" ของ Apache แบบโอเพนซอร์ส (CVE-2021-44228 และ CVE-2021-45046) กับคอนเทนเนอร์ของลูกค้า Amazon EKS, Amazon ECS และ AWS Fargate จึงมีการติดตั้งอัปเดต (ฮอตแพตช์) ที่ทำงานบน Linux ฮอตแพตช์นี้จำเป็นต้องให้ลูกค้าเลือกใช้งานและปิดใช้งานการค้นหา JNDI จากไลบรารี Log4J2 ในคอนเทนเนอร์ของลูกค้า อัปเดตเหล่านี้พร้อมให้บริการเป็น แพคเกจ Amazon Linux สำหรับลูกค้า Amazon ECS เป็น DaemonSet สำหรับผู้ใช้ Kubernetes บน AWS และในเวอร์ชันของแพลตฟอร์ม AWS Fargate ที่รองรับ

เราแนะนำให้ลูกค้าที่ใช้งานแอปพลิเคชันที่ทำงานด้วย Java บนคอนเทนเนอร์ Windows ปฏิบัติตามคำแนะนำของ Microsoft ที่นี่

Amazon ECR Public และ Amazon ECR

อิมเมจของ Amazon ที่เผยแพร่ในบัญชีที่มีการยืนยันบน Amazon ECR Public จะไม่ได้รับผลกระทบจากปัญหาที่อธิบายไว้ใน CVE-2021-4422 สำหรับอิมเมจของลูกค้าบน Amazon ECR AWS ขอเสนอ การสแกนที่ดียิ่งขึ้น ด้วย Amazon Inspector ซึ่งออกแบบมาให้สแกนอิมเมจคอนเทนเนอร์สำหรับปัญหาด้านความปลอดภัยที่รู้จักอย่างต่อเนื่อง รวมถึงอิมเมจคอนเทนเนอร์ที่มี CVE-2021-44228 โดยจะมีการรายงานผลการค้นหาใน Console ของ Inspector และ ECR Inspector มาพร้อมช่วงทดลองใช้ฟรี 15 วันพร้อมการสแกนอิมเมจคอนเทนเนอร์ฟรีสำหรับบัญชีที่เพิ่งมีการใช้งาน Inspector สำหรับลูกค้าที่ใช้อิมเมจใน ECR Public จากผู้เผยแพร่ภายนอก ลูกค้าสามารถใช้คุณสมบัติ Pull Through Cache ที่เพิ่งเปิดตัวของ ECR เพื่อคัดลอกอิมเมจเหล่านั้นจาก ECR Public ไปยัง รีจิสทรี ECR ของตนและใช้การสแกนของ Inspector เพื่อตรวจหาปัญหาด้านความปลอดภัย

Amazon Cognito

บริการของ Amazon Cognito ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon Pinpoint

บริการของ Amazon Pinpoint ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon EventBridge

Amazon EventBridge ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Elastic Load Balancing

บริการของ Elastic Load Balancing ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 Elastic Load Balancers ทั้งหมดรวมถึง Classic, Application, Network และ Gateway ไม่ได้เขียนด้วย Java จึงไม่ได้รับผลกระทบจากปัญหานี้

AWS CodePipeline


AWS CodePipeline ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 และ CVE-2021-45046

AWS CodeBuild

AWS CodeBuild ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 และ CVE-2021-45046

Amazon Route53


Route 53 ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon Linux


Amazon Linux 1 (AL1) และ Amazon Linux 2 (AL2) โดยเริ่มต้นจะใช้ log4j ในเวอร์ชันที่ไม่ได้รับผลกระทบจาก CVE-2021-44228 หรือ CVE-2021-45046 Amazon Kinesis Agent เวอร์ชันใหม่ที่เป็นส่วนหนึ่งใน AL2 ที่แก้ไขปัญหา CVE-2021-44228 และ CVE-2021-45046 นอกจากนี้ เพื่อให้ความช่วยเหลือกับลูกค้าที่นำโค้ด log4j ของตนมาใช้ Amazon Linux ได้ปล่อยแพคเกจใหม่ที่ประกอบด้วยฮอตแพตช์สำหรับ Apache log4j ดูรายละเอียดเพิ่มเติมได้ที่นี่

Amazon SageMaker

Amazon SageMaker ทำการแพตช์ปัญหาของ Apache Log4j2 (CVE-2021-44228) เสร็จสมบูรณ์ในวันที่ 15 ธันวาคม 2021

เรายังคงแนะนำให้ลูกค้าของเราดำเนินการอัปเดตแอปพลิเคชันและบริการทั้งหมดโดยการแพตช์ปัญหาที่รู้จักเช่นในกรณีนี้อย่างต่อเนื่อง ลูกค้าที่ได้รับการแนะนำให้ดำเนินการกับปัญหานี้จะได้รับคำแนะนำโดยละเอียดผ่านทาง PHD แม้คุณจะไม่ได้รับผลกระทบจากปัญหา Log4j เราขอแนะนำให้คุณรีสตาร์ทงานหรืออัปเดตแอปเพื่อใช้ซอฟต์แวร์เวอร์ชันล่าสุดของเรา

Amazon Athena

Amazon Athena ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 ไดรเวอร์ JDBC ของ Amazon Athena ทุกเวอร์ชันที่จำหน่ายให้กับลูกค้าไม่ได้รับผลกระทบจากปัญหานี้

AWS Certificate Manager

บริการของ AWS Certificate Manager ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

บริการของ ACM Private CA ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon AppFlow

Amazon AppFlow ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon Polly

Amazon Polly ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon QuickSight

Amazon QuickSight ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

AWS Textract

บริการของ AWS Textract ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon Corretto

Amazon Corretto เวอร์ชันล่าสุดที่ปล่อยออกมาในวันที่ 19 ตุลาคมไม่ได้รับผลกระทบจาก CVE-2021-44228 เนื่องจากไม่มี Log4j ใน Distribution ของ Corretto เราขอแนะนำให้ลูกค้าอัปเดต Log4j เป็นเวอร์ชันล่าสุดในแอปพลิเคชันทั้งหมดที่ใช้ Log4j รวมถึงการพึ่งพาโดยตรง การพึ่งพาโดยอ้อม และ JAR แรเงา
 

AWS ตระหนักถึงปัญหาด้านความปลอดภัยที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้เกี่ยวกับยูทิลิตี "Log4j2" ของ Apache แบบโอเพนซอร์ส (CVE-2021-44228)

การตอบสนองต่อปัญหาด้านความปลอดภัยเช่นนี้แสดงให้เห็นถึงคุณค่าของการมีเทคโนโลยีเชิงป้องกันแบบหลายเลเยอร์ ซึ่งสำคัญต่อการรักษาความปลอดภัยของข้อมูลและปริมาณงานของลูกค้า เราให้ความสำคัญกับปัญหานี้อย่างมาก และทีมวิศวกรระดับโลกของเรากำลังทำงานเพื่อหาวิธีตอบสนองและการแก้ไขอย่างต่อเนื่อง เราหวังเป็นอย่างยิ่งที่จะสามารถกู้คืนการป้องกันเชิงลึกอย่างเต็มรูปแบบของเรากลับมาได้โดยเร็ว

โดยหนึ่งในเทคโนโลยีที่เราพัฒนาขึ้นและติดตั้งใช้งานคือฮอตแพตช์สำหรับแอปพลิเคชันที่อาจมี Log4j เรายังพร้อมให้บริการในแบบโซลูชันแบบโอเพนซอร์ส ซึ่งมีให้บริการที่นี่

แม้จะมีการติดตั้งฮอตแพตช์นี้แล้ว ลูกค้าจำเป็นต้องวางแผนติดตั้งไลบรารี Log4j ที่อัปเดตโดยเร็วที่สุด

ดูข้อมูลเพิ่มเติมแบบเฉพาะบริการได้ที่ด้านล่าง หากคุณต้องการรายละเอียดเพิ่มเติมหรือความช่วยเหลือ โปรดติดต่อ AWS Support

Amazon Kinesis

Kinesis Agent เวอร์ชันใหม่ที่แก้ไขปัญหาไลบรารี Apache Log4j2 ที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้ (CVE-2021-44228) พร้อมให้บริการแล้วที่นี่

Amazon Inspector

บริการของ Amazon Inspector ได้รับการแก้ไขปัญหา Log4j แล้ว

บริการของ Inspector ช่วยตรวจจับปัญหา CVE-2021-44228 (Log4Shell) ภายในปริมาณงาน EC2 และอิมเมจ ECR ของลูกค้า โดยการตรวจจับพร้อมให้บริการอยู่ในขณะนี้สำหรับแพคเกจในระดับระบบปฏิบัติการที่ได้รับผลกระทบบน Linux ซึ่งบริการเหล่านี้รวมถึงแต่ไม่จำกัดเพียง apache-log4j2 และ liblog4j2-java สำหรับ Debian; log4j, log4jmanual และ log4j12 สำหรับ SUSE และ Elasticsearch สำหรับ Alpine, Centos, Debian, Red Hat, SUSE และ Ubuntu การตรวจจับนอกเหนือจากนี้จะถูกเพิ่มเข้าในเมื่อมีผลกระทบเพิ่มเติมที่ระบุโดยทีมงานด้านความปลอดภัยสำหรับ Distribution ที่เกี่ยวข้อง Inspector จะแบ่งการเก็บถาวรของ Java ในอิมเมจ ECR และสร้างผลการค้นหาแพคเกจหรือแอปพลิเคชันที่ได้รับผลกระทบ โดยจะระบุผลการค้นหาเหล่านี้ไว้ใน Console ของ Inspector ภายใต้ “CVE-2021-44228” หรือ “IN1-JAVA-ORGAPACHELOGGINGLOG4J-2314720 - org.apache.logging.log4j:log4j-core”

Amazon Inspector Classic

บริการของ Amazon Inspector ได้รับการแก้ไขปัญหา Log4j แล้ว

บริการของ Inspector Classic ช่วยตรวจจับปัญหา CVE-2021-44228 (Log4Shell) ภายในปริมาณงาน EC2 ของลูกค้า โดยการตรวจจับ CVE-2021-44228 (Log4Shell) พร้อมให้บริการอยู่ในขณะนี้สำหรับแพคเกจในระดับระบบปฏิบัติการที่ได้รับผลกระทบบน Linux ซึ่งบริการเหล่านี้รวมถึงแต่ไม่จำกัดเพียง apache-log4j2 และ liblog4j2-java สำหรับ Debian; log4j, log4jmanual และ log4j12 สำหรับ SUSE และ Elasticsearch สำหรับ Alpine, Centos, Debian, Red Hat, SUSE และ Ubuntu

Amazon WorkSpaces/AppStream 2.0

Amazon WorkSpaces และ AppStream 2.0 ไม่ได้รับผลกระทบจาก CVE-2021-44228 ด้วยการกำหนดค่าเริ่มต้น อิมเมจ Amazon Linux 2 เริ่มต้นของ WorkSpace และ AppStream ไม่มี Log4j เป็นองค์ประกอบ และเวอร์ชันของ Log4j ที่มีในคลังแพคเกจ Amazon Linux 2 เริ่มต้นไม่ได้รับผลกระทบจาก CVE-2021-44228 อย่างไรก็ตาม หากคุณติดตั้งไคลเอ็นต์ WorkDocs Sync บน Windows WorkSpaces โปรดดำเนินการตามที่แนะนำด้านล่างนี้

โดยเริ่มต้น Windows WorkSpaces ไม่ได้ติดตั้ง WorkDocs Sync เอาไว้ อย่างไรก็ตาม WorkSpace เคยมีทางลัดบนเดสก์ท็อปโดยเริ่มต้นไปยังตัวติดตั้งไคลเอ็นต์ WorkDocs Sync ก่อนเดือนมิถุนายน 2021 ไคลเอ็นต์ WorkDocs Sync เวอร์ชัน 1.2.895.1 (และเก่ากว่า) มีองค์ประกอบ Log4j หากคุณติดตั้งไคลเอ็นต์ WorkDocs Sync เวอร์ชันเก่าบน WorkSpaces โปรดรีสตาร์ทไคลเอ็นต์ Sync บน WorkSpaces ผ่านเครื่องมือที่มีการจัดการเช่น SCCM หรือแนะนำให้ผู้ใช้ WorkSpaces ของคุณเปิดไคลเอ็นต์ Sync “Amazon WorkDocs” ด้วยตนเองจากรายการโปรแกรมที่ติดตั้ง เมื่อเปิดใช้งาน ไคลเอ็นต์ Sync จะอัปเดตเป็นเวอร์ชันล่าสุด 1.2.905.1 ซึ่งไม่ได้รับผลกระทบจาก CVE-2021-44228 โดยอัตโนมัติ แอปพลิเคชัน Workdocs Drive และ Workdocs Companion ไม่ได้รับผลกระทบจากปัญหานี้

Amazon Timestream

Amazon Timestream ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon DocumentDB

ตั้งแต่วันที่ 13 ธันวาคม 2021 Amazon DocumentDB ได้รับการแพตช์เพื่อบรรเทาปัญหา Log4j ที่มีการอ้างอิงใน CVE-2021-44228

Amazon CloudWatch

บริการของ Amazon CloudWatch ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

AWS Secrets Manager

AWS Secrets Manager ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon Single Sign-On

บริการของ Amazon Single Sign-On ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon RDS Oracle

Amazon RDS Oracle มี Log4j2 เวอร์ชันอัปเดตที่ใช้อยู่ในบริการ การเข้าถึงอินสแตนซ์ RDS ยังคงถูกจำกัดไว้โดย VPC ของคุณและการควบคุมความปลอดภัยอื่นๆ เช่น กลุ่มความปลอดภัยและ Access Control List (ACL) ของเครือข่าย เราขอแนะนำเป็นอย่างยิ่งให้คุณตรวจสอบการตั้งค่าเหล่านี้เพื่อรับรองถึงการจัดการการเข้าถึงอย่างถูกต้องให้กับอินสแตนซ์ RDS ของคุณ

ตาม เอกสารสนับสนุน 2827611.1 ของ Oracle ฐานข้อมูลของ Oracle ไม่ได้รับผลกระทบจากปัญหานี้

Amazon Cloud Directory

Amazon Cloud Directory ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon Simple Queue Service (SQS)

Amazon Simple Queue Service (SQS) ดำเนินการแพตช์สำหรับปัญหาของ Apache Log4j2 (CVE-2021-44228) สำหรับการนำเข้าและส่งออกข้อมูลของ SQS เสร็จสมบูรณ์แล้วเมื่อวันที่ 13 ธันวาคม 2021 นอกจากนี้ เรายังได้ดำเนินการแพตช์ระบบอื่นๆ ทั้งหมดของ SQS ที่ใช้ Log4j2 เสร็จสมบูรณ์แล้วอีกด้วย

AWS KMS

AWS KMS ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon Redshift

คลัสเตอร์ Amazon Redshift ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 โดยอัตโนมัติ

AWS Lambda

AWS Lambda ไม่ได้รวม Log4j2 ลงในรันไทม์ที่มีการจัดการหรืออิมเมจคอนเทนเนอร์พื้นฐาน ดังนั้นจึงไม่ได้รับผลกระทบจากปัญหาที่อธิบายไว้ใน CVE-2021-44228 และ CVE-2021-45046

สำหรับกรณีที่ฟังก์ชันของลูกค้ามี Log4j2 เวอร์ชันที่ได้รับผลกระทบ เราได้ปรับใช้การเปลี่ยนแปลงกับรันไทม์ที่จัดการด้วย Java ของ Lambda และอิมเมจคอนเทนเนอร์พื้นฐาน (Java 8, Java 8 บน AL2 และ Java 11) ซึ่งช่วยบรรเทาปัญหาใน CVE-2021-44228 และ CVE-2021-45046 โดยจะมีการปรับใช้โดยอัตโนมัติสำหรับลูกค้าที่ใช้รันไทม์ที่มีกาจัดการ ลูกค้าที่ใช้อิมเมจคอนเทนเนอร์จำเป็นต้องสร้างขึ้นมาใหมจากอิมเมจคอนเทนเนอร์พื้นฐานล่าสุดและติดตั้งอีกครั้ง

เราขอแนะนำเป็นอย่างยิ่งให้ลูกค้าทุกคนที่ใช้ฟังก์ชันซึ่งมี Log4j2 อัปเดตเป็นเวอร์ชันล่าสุดโดยไม่คำนึงถึงการเปลี่ยนแปลงนี้ โดยเฉพาะอย่างยิ่ง ลูกค้าที่ใช้ไลบรารี aws-lambda-java-log4j2 ในฟังก์ชันของตนควรอัปเดตเป็นเวอร์ชัน 1.4.0 แล้วติดตั้งฟังก์ชันอีกครั้ง โดยเวอร์ชันนี้จะอัปเดตการพึ่งพายูทิลิตี Log4j2 พื้นฐานเป็นเวอร์ชัน 2.16.0 ไบนารี aws-lambda-java-log4j2 ที่อัปเดตพร้อมให้บริการแล้วที่คลัง Maven และมีซอร์สโค้ดพร้อมให้บริการบน Github

AWS ตระหนักถึงปัญหาด้านความปลอดภัยที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้เกี่ยวกับยูทิลิตี "Log4j2" ของ Apache แบบโอเพนซอร์ส (CVE-2021-44228)

การตอบสนองต่อปัญหาด้านความปลอดภัยเช่นนี้แสดงให้เห็นถึงคุณค่าของการมีเทคโนโลยีเชิงป้องกันแบบหลายเลเยอร์ ซึ่งสำคัญต่อการรักษาความปลอดภัยของข้อมูลและปริมาณงานของลูกค้า เราให้ความสำคัญกับปัญหานี้อย่างมาก และทีมวิศวกรระดับโลกของเรากำลังทำงานเพื่อหาวิธีตอบสนองและการแก้ไขอย่างต่อเนื่อง เราหวังเป็นอย่างยิ่งที่จะสามารถกู้คืนการป้องกันเชิงลึกอย่างเต็มรูปแบบของเรากลับมาได้โดยเร็ว

เรายังคงแนะนำให้ลูกค้าของเราดำเนินการอัปเดตแอปพลิเคชันและบริการทั้งหมดโดยการแพตช์ปัญหาที่รู้จักเช่นในกรณีนี้อย่างต่อเนื่องเพื่อปฏิบัติตามคำแนะนำด้าน Well Architected ของเรา

ดูข้อมูลเพิ่มเติมแบบเฉพาะบริการได้ที่ด้านล่าง หากคุณต้องการรายละเอียดเพิ่มเติมหรือความช่วยเหลือ โปรดติดต่อ AWS Support

Amazon API Gateway

ตั้งแต่วันที่ 13 ธันวาคม 2021 โฮสต์ของ Amazon API Gateway ได้รับการแพตช์เพื่อบรรเทาปัญหา Log4j ที่มีการอ้างอิงใน CVE-2021-44228

Amazon CloudFront

บริการของ Amazon CloudFront ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 บริการด้านการจัดการคำขอของ CloudFront ที่ทำงานบน POP ของเราไม่ได้เขียนด้วยภาษา Java ดังนั้นจึงไม่ได้รับผลกระทบจากปัญหานี้

Amazon Connect

บริการของ Amazon Connect ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon DynamoDB

Amazon DynamoDB และ Amazon DynamoDB Accelerator (DAX) ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon EC2

Log4j เวอร์ชันที่พร้อมใช้งานในคลัง Amazon Linux 1 และ Amazon Linux 2 ไม่ได้รับผลกระทบจาก CVE-2021-44228 ดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตซอฟต์แวร์ที่เกี่ยวข้องกับความปลอดภัยสำหรับ Amazon Linux ได้ที่ศูนย์ความปลอดภัยของ Amazon Linux

Amazon ElastiCache

กลไกจัดการ Redis ของ Amazon ElastiCache ไม่ได้รวม Log4j2 ลงในรันไทม์ที่มีการจัดการหรืออิมเมจคอนเทนเนอร์พื้นฐาน Amazon ElastiCache ทำการแพตช์ปัญหาของ Apache Log4j2 (CVE-2021-44228) เสร็จสมบูรณ์ในวันที่ 12 ธันวาคม 2021

Amazon EMR

CVE-2021-44228 ส่งผลกระทบต่อ Apache Log4j เวอร์ชันที่อยู่ระหว่าง 2.0 ถึง 2.14.1 เมื่อประมวลผลอินพุตจากแหล่งที่มาที่ไม่น่าเชื่อถือ คลัสเตอร์ EMR ที่เปิดใช้ด้วยรุ่น EMR 5 และ EMR 6 จะรวมเฟรมเวิร์กแบบโอเพนซอร์ส เช่น Apache Hive, Apache Flink, HUDI, Presto และ Trino ไว้ด้วย ซึ่งใช้ Apache Log4j ในเวอร์ชันเหล่านี้ เมื่อคุณเปิดใช้คลัสเตอร์ที่มีการกำหนดค่าเริ่มต้นของ EMR คลัสเตอร์ดังกล่าวจะไม่ประมวลผลอินพุตจากแหล่งที่มาที่ไม่น่าเชื่อถือ

เรากำลังพยายามอย่างแข็งขันในการสร้างการอัปเดตที่ช่วยบรรเทาปัญหาซึ่งระบุไว้ใน CVE-2021-44228 เมื่อเฟรมเวิร์กแบบโอเพนซอร์สที่ติดตั้งบนคลัสเตอร์ EMR ของคุณประมวลผลข้อมูลจากแหล่งที่มาที่ไม่น่าเชื่อถือ

AWS IoT SiteWise Edge

อัปเดตสำหรับองค์ประกอบ AWS IoT SiteWise Edge ทั้งหมดที่ใช้ Log4j พร้อมให้ติดตั้งในวันที่ 13/12/2021 องค์ประกอบเหล่านี้ได้แก่: ตัวรวบรวม OPC-UA (v2.0.3) ชุดประมวลผลข้อมูล (v2.0.14) และผู้เผยแพร่ (v2.0.2) AWS ขอแนะนำให้ลูกค้าที่ใช้องค์ประกอบเหล่านี้ปรับใช้เวอร์ชันล่าสุดลงในเกตเวย์ SiteWise Edge ของตน

Amazon Keyspaces (for Apache Cassandra)

Amazon Keyspaces (for Apache Cassandra) ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon Kinesis Data Analytics

Apache Flink เวอร์ชันที่ Amazon Kinesis Data Analytics สนับสนุนนั้นรวม Apache Log4j เวอร์ชันที่อยู่ระหว่าง 2.0 ถึง 2.14.1 เอาไว้ด้วย แอปพลิเคชันต่างๆ ของ Kinesis Data Analytics ดำเนินการในสภาพแวดล้อมแบบแยกเป็นอิสระที่มีผู้เช่ารายเดียว และไม่สามารถโต้ตอบกันได้

เรากำลังอัปเดตเวอร์ชันของ Log4j ที่พร้อมใช้งานกับแอปพลิเคชันของลูกค้า Kinesis Data Analytics ในรีเจี้ยนทั้งหมดของ AWS แอปพลิเคชันที่เริ่มหรืออัปเดตหลังจากเวลา 18.30 น. ตามเวลา PST ของวันที่ 12/12/2021 จะได้รับแพตช์ที่อัปเดตแล้วโดยอัตโนมัติ ลูกค้าที่เริ่มหรืออัปเดตแอปพลิเคชันก่อนหน้านั้นสามารถตรวจสอบให้แน่ใจว่าแอปพลิเคชันของตนทำงานบน Log4j เวอร์ชันที่อัปเดตแล้วได้โดยการเรียกใช้ UpdateApplication API ของ Kinesis Data Analytics ข้อมูลเพิ่มเติมเกี่ยวกับ UpdateApplication API มีอยู่ในเอกสารประกอบของบริการ

Amazon Kinesis Data Streams

เรากำลังดำเนินการแพตช์ระบบย่อยทั้งหมดที่ใช้ Log4j2 โดยการอัปเดต Kinesis Client Library (KCL) เวอร์ชัน 2.X และ Kinesis Producer Library (KPL) ไม่ได้รับผลกระทบ เราได้ปล่อยเวอร์ชันอัปเดตสำหรับลูกค้าที่ใช้ KCL 1.x และขอแนะนำเป็นอย่างยิ่งให้ลูกค้าที่ใช้ KCL เวอร์ชัน 1.x ทั้งหมดอัปเดตเป็น KCL เวอร์ชัน 1.14.5 (ขึ้นไป) ซึ่งพร้อมให้บริการที่นี่

Amazon Managed Streaming for Apache Kafka (MSK)

เราตระหนักถึงปัญหาที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้ (CVE-2021-44228) ซึ่งเกี่ยวข้องกับไลบรารี Apache Log4j2 และกำลังนำการอัปเดตมาใช้ตามความจำเป็น โปรดทราบว่ารุ่นของ Apache Kafka และ Apache Zookeeper ที่นำเสนอใน MSK ใช้ Log4j 1.2.17 อยู่ในปัจจุบัน ซึ่งไม่ได้รับผลกระทบจากปัญหานี้ องค์ประกอบบริการแบบเฉพาะ MSK บางรายการใช้ไลบรารี Log4j > 2.0.0 และกำลังได้รับการแพตช์ตามความจำเป็น

Amazon Managed Workflows for Apache Airflow (MWAA)

MWAA มีข้อควรพิจารณาสองประการเกี่ยวกับปัญหาที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้ (CVE-2021-44228) ซึ่งเกี่ยวข้องกับไลบรารี Apache Log4j2 โดยประการแรกคือโค้ดบริการของ Amazon MWAA (เฉพาะเจาะจง AWS) ส่วนประการที่สองคือโค้ดแบบโอเพนซอร์ส (Apache Airflow)

ณ วันที่ 14 ธันวาคม 2021 เราได้ดำเนินการอัปเดตทั้งหมดที่จำเป็นให้กับโค้ดบริการของ MWAA เพื่อจัดการปัญหานี้ Apache Airflow ไม่ได้ใช้ Log4j2 และไม่ได้รับผลกระทบจากปัญหานี้

เราขอแนะนำเป็นอย่างยิ่งให้ลูกค้าที่เพิ่ม Log4j2 ลงในสภาพแวดล้อมของตนอัปเดตเป็นเวอร์ชันล่าสุด

Amazon MemoryDB for Redis

Amazon MemoryDB for Redis ทำการแพตช์ปัญหาของ Apache Log4j2 (CVE-2021-44228) เสร็จสมบูรณ์ในวันที่ 12 ธันวาคม 2021

Amazon MQ

Amazon MQ มีข้อควรพิจารณาสองประการเกี่ยวกับปัญหาที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้ (CVE-2021-44228) ซึ่งเกี่ยวข้องกับไลบรารี Apache Log4j2 โดยประการแรกคือโค้ดบริการของ Amazon MQ (เฉพาะเจาะจง AWS) ส่วนประการที่สองคือโค้ดแบบโอเพนซอร์ส (ตัวรับส่งข้อความของ Apache ActiveMQ และ RabbitMQ)

ณ วันที่ 13 ธันวาคม 2021 เราได้ดำเนินการอัปเดตทั้งหมดที่จำเป็นให้กับโค้ดบริการของ Amazon MQ เพื่อจัดการปัญหานี้
สำหรับตัวรับส่งข้อความแบบโอเพนซอร์ส ไม่จำเป็นต้องทำการอัปเดตใดๆ Apache ActiveMQ ทุกเวอร์ชันที่นำเสนอใน Amazon MQ ใช้ Log4j เวอร์ชัน 1.2.x ซึ่งไม่ได้รับผลกระทบจากปัญหานี้ RabbitMQ ไม่ได้ใช้ Log4j และไม่ได้รับผลกระทบจากปัญหานี้

Amazon Neptune

คลัสเตอร์ Amazon Neptune ทั้งหมดที่ใช้งานอยู่จะได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 โดยอัตโนมัติ

Amazon OpenSearch Service

Amazon OpenSearch Service ได้ปล่อยการอัปเดตซอฟต์แวร์บริการที่สำคัญในเวอร์ชัน R20211203-P2 ซึ่งประกอบด้วย Log4j2 เวอร์ชันอัปเดตในทุกรีเจี้ยน เราขอแนะนำเป็นอย่างยิ่งให้ลูกค้าอัปเดตคลัสเตอร์ OpenSearch ของตนเป็นรุ่นนี้โดยเร็วที่สุด

Amazon RDS

Amazon RDS และ Amazon Aurora กำลังจัดการปัญหาอย่างแข็งขันกับบริการทั้งหมดที่ใช้ Log4j2 โดยการนำการอัปเดตต่างๆ มาใช้ กลไกฐานข้อมูลเชิงสัมพันธ์ที่สร้างบน RDS ไม่ได้รวมไลบรารี Apache Log4j2 เอาไว้ด้วย ในส่วนที่มีผู้จำหน่ายต้นน้ำมาเกี่ยวข้อง เราจะนำการบรรเทาที่ผู้จำหน่ายแนะนำมาใช้ โดยในระหว่างการอัปเดตองค์ประกอบภายใน ลูกค้าอาจพบว่าเหตุการณ์มีความไม่ต่อเนื่อง

Amazon S3

Amazon S3 ดำเนินการแพตช์สำหรับปัญหาของ Apache Log4j2 (CVE-2021-44228) สำหรับการนำเข้าและส่งออกข้อมูลของ S3 เสร็จสมบูรณ์แล้วเมื่อวันที่ 11 ธันวาคม 2021 นอกจากนี้ เรายังได้ดำเนินการแพตช์ระบบอื่นๆ ทั้งหมดของ S3 ที่ใช้ Log4j2 เสร็จสมบูรณ์แล้วอีกด้วย

Amazon Simple Notification Service (SNS)

ระบบ Amazon SNS ที่ให้บริการรับส่งข้อมูลของลูกค้าได้รับการแพตช์สำหรับปัญหา Log4j2 แล้ว เรากำลังดำเนินการเพื่อนำแพตช์ Log4j2 มาใช้กับระบบย่อยที่ทำงานแยกต่างหากจากระบบของ SNS ที่ให้บริการรับส่งข้อมูลของลูกค้า

Amazon Simple Workflow Service (SWF)

Amazon Simple Workflow Service (SWF) ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

AWS CloudHSM

AWS CloudHSM JCE SDK เวอร์ชันที่เก่ากว่า 3.4.1 ประกอบด้วย Apache Log4j เวอร์ชันที่ได้รับผลกระทบจากปัญหานี้ เมื่อวันที่ 10 ธันวาคม 2021 CloudHSM ได้เผยแพร่ JCE SDK v3.4.1 โดยมี Apache Log4j เวอร์ชันที่แก้ไขแล้ว หากคุณใช้ CloudHSM JCE เวอร์ชันที่เก่ากว่า 3.4.1 คุณอาจได้รับผลกระทบและควรบรรเทาปัญหาดังกล่าวโดยการอัปเกรด CloudHSM JCE SDK เป็นเวอร์ชัน 3.4.1 หรือสูงกว่า

AWS Elastic Beanstalk

AWS Elastic Beanstalk ติดตั้ง Log4j จากคลังแพคเกจเริ่มต้นของ Amazon Linux ในแพลตฟอร์ม Tomcat สำหรับ Amazon Linux 1 และ Amazon Linux 2 Log4j เวอร์ชันที่พร้อมใช้งานในคลัง Amazon Linux 1 และ Amazon Linux 2 ไม่ได้รับผลกระทบจาก CVE-2021-44228

หากคุณได้ทำการเปลี่ยนแปลงการกำหนดค่าสำหรับการใช้งาน Log4j ของแอปพลิเคชันของคุณ เราขอแนะนำให้คุณดำเนินการเพื่ออัปเดตโค้ดของแอปพลิเคชันเพื่อบรรเทาปัญหานี้

ตามแนวทางปฏิบัติทั่วไปของเรา หากมีการเผยแพร่เวอร์ชันที่มีแพตช์ของเวอร์ชันคลังแพคเกจเริ่มต้นเหล่านี้ Elastic Beanstalk จะรวมเวอร์ชันที่มีแพตช์ลงในการเผยแพร่เวอร์ชันบนแพลตฟอร์ม Tomcat ครั้งถัดไปสำหรับ Amazon Linux 1 และ Amazon Linux 2

ดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตซอฟต์แวร์ที่เกี่ยวข้องกับความปลอดภัยสำหรับ Amazon Linux ได้ที่ศูนย์ความปลอดภัยของ Amazon Linux

AWS Glue

AWS Glue ตระหนักถึงปัญหาด้านความปลอดภัยที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้เกี่ยวกับยูทิลิตี “Log4j2" ของ Apache แบบโอเพนซอร์ส (CVE-2021-44228) เราได้อัปเดตฟลีตชั้นการควบคุมของเราที่ให้บริการ AWS Glue API สำหรับ Glue ทุกเวอร์ชันที่สนับสนุน

AWS Glue สร้างสภาพแวดล้อมใหม่ของ Spark ที่แยกเป็นอิสระจากสภาพแวดล้อม Spark อื่นๆ ทั้งหมด ณ ระดับการจัดการและเครือข่ายภายในบัญชีบริการ AWS Glue งาน ETL ของคุณจะได้รับการดำเนินการในสภาพแวดล้อมแบบมีผู้เช่ารายเดียว หากคุณอัปโหลดไฟล์ jar ที่กำหนดเองเพื่อใช้ในงาน ETL หรือตำแหน่งข้อมูลการพัฒนาซึ่งมี Apache Log4j ในเวอร์ชันเฉพาะ เราขอแนะนำให้คุณอัปเดต jar ของคณเพื่อใช้ Apache Log4j เวอร์ชันล่าสุด

นอกจากนี้ AWS Glue ยังนำการอัปเดตต่างๆ มาใช้อย่างเร่งด่วนกับสภาพแวดล้อมใหม่ของ Spark ทั่วทุกรีเจี้ยนที่สนับสนุน หากคุณมีข้อสงสัยหรือต้องการความช่วยเหลือเพิ่มเติม โปรดติดต่อ AWS Support

AWS Greengrass

การอัปเดตสำหรับองค์ประกอบทั้งหมดของ AWS Greengrass V2 ที่ใช้ Log4j พร้อมสำหรับการปรับใช้งานได้ ณ วันที่ 10/12/2021 องค์ประกอบเหล่านี้ ได้แก่ Stream Manager (2.0.14) และ Secure Tunneling (1.0.6) AWS ขอแนะนำให้ลูกค้าที่ใช้องค์ประกอบของ Greengrass เหล่านี้ปรับใช้เวอร์ชันล่าสุดลงในอุปกรณ์ของตน

คุณสมบัติ Stream Manager ของ Greengrass เวอร์ชัน 1.10.x และ 1.11.x ใช้ Log4j การอัปเดตสำหรับคุณสมบัติ Stream Manager รวมอยู่ในแพตช์ Greengrass เวอร์ชัน 1.10.5 และ 1.11.5 ซึ่งทั้งสองเวอร์ชันพร้อมใช้งาน ณ วันที่ 12/12/2021 เราขอแนะนำเป็นอย่างยิ่งให้ลูกค้าที่มีเวอร์ชัน 1.10.x และ 1.11.x ซึ่งเปิดใช้งาน Stream Manager บนอุปกรณ์ (หรืออาจเปิดใช้งานในอนาคต) ทำการอัปเดตอุปกรณ์ของตนเป็นเวอร์ชันล่าสุด

AWS Lake Formation

โฮสต์บริการของ AWS Lake Formation กำลังได้รับการอัปเดตเป็น Log4j เวอร์ชันล่าสุดเพื่อจัดการกับปัญหาซึ่งพบในเวอร์ชันที่อ้างอิงถึงใน CVE-2021-44228

AWS Lambda

AWS Lambda ไม่ได้รวม Log4j2 ลงในรันไทม์ที่มีการจัดการหรืออิมเมจคอนเทนเนอร์พื้นฐาน ดังนั้นจึงไม่ได้รับผลกระทบจากปัญหาที่อธิบายไว้ใน CVE-2021-44228 ลูกค้าที่ใช้ไลบรารี aws-lambda-java-log4j2 ในฟังก์ชันของตนจะต้องอัปเดตเป็นเวอร์ชัน 1.3.0 แล้วปรับใช้อีกครั้ง

AWS SDK

AWS SDK สำหรับ Java ใช้หน้าด่านการบันทึก และไม่มีการขึ้นต่อกันของรันไทม์กับ Log4j ขณะนี้ เราเชื่อว่ายังไม่จำเป็นต้องทำการเปลี่ยนแปลงใดๆ กับ AWS SDK สำหรับ Java เกี่ยวกับปัญหานี้

AWS Step Functions

AWS Step Functions ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

AWS Web Application Firewall (WAF)

เพื่อปรับปรุงการตรวจจับและการบรรเทาปัญหาที่เกี่ยวข้องกับปัญหาด้านความปลอดภัยของ Log4j security ให้ดียิ่งขึ้น ลูกค้า CloudFront, Application Load Balancer (ALB), API Gateway และ AppSync สามารถเลือกเปิดใช้งาน AWS WAF และใช้กฎที่มีการจัดการของ AWS (AMR) ได้ดังนี้: AWSManagedRulesKnownBadInputsRuleSet และ AWSManagedRulesAnonymousIpList

AWSManagedRulesKnownBadInputsRuleSet ตรวจสอบ uri คำขอ, เนื้อหา และส่วนหัวที่ใช้โดยทั่วไป ในขณะที่ AWSManagedRulesAnonymousIpList ช่วยบล็อกคำขอที่มาจากบริการซึ่งอนุญาตให้มีการสร้างความซับซ้อนกับตัวตนของผู้ชม คุณสามารถปรับใช้กฎเหล่านี้ได้โดยการสร้าง ACL ของเว็บสำหรับ AWS WAF การเพิ่มชุดกฎหนึ่งรายการขึ้นไปใน ACL ของเว็บ แล้วเชื่อมโยง ACL ของเว็บกับ Distribution ของ CloudFront, ALB, API Gateway หรือ AppSync GraphQL API

เราทำซ้ำกลุ่มกฎ AWSManagedRulesKnownBadInputsRuleSet อย่างต่อเนื่องในขณะที่เราเรียนรู้ โปรดเลือกเวอร์ชันเริ่มต้นเพื่อรับการอัปเดตอัตโนมัติสำหรับ AWSManagedRulesKnownBadInputsRuleSet สำหรับลูกค้าที่ใช้ AWS WAF Classic คุณจำเป็นต้องย้ายข้อมูลไปยัง AWS WAF หรือสร้างเงื่อนไขการจับคู่ regex แบบกำหนดเอง ลูกค้าสามารถใช้ AWS Firewall Manager ซึ่งให้คุณสามารถกำหนดค่าให้กับกฎ AWS WAF ระหว่างบัญชีและทรัพยากรของ AWS หลายแห่งจากที่เดียว คุณสามารถจัดกลุ่มให้กับกฎ สร้างนโยบาย และปรับใช้นโยบายดังกล่าวกับโครงสร้างพื้นฐานของคุณทั้งหมดได้จากจุดศูนย์กลาง

NICE

เนื่องจาก CVE ในไลบรารี Apache Log4j ซึ่งรวมอยู่ใน EnginFrame ตั้งแต่เวอร์ชัน 2020.0 ถึง 2021.0-r1307 ทาง NICE จึงขอแนะนำให้คุณอัปเกรดเป็น EnginFrame เวอร์ชันล่าสุดหรืออัปเดตไลบรารี Log4j ในการติดตั้ง EnginFrame ของคุณโดยทำตามคำแนะนำบนเว็บไซต์การสนับสนุน

หากมีข้อสงสัยใดๆ โปรดติดต่อเรา

AWS ตระหนักถึงปัญหาด้านความปลอดภัยที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้เกี่ยวกับยูทิลิตี "Log4j2" ของ Apache แบบโอเพนซอร์ส (CVE-2021-44228) เรากำลังเฝ้าติดตามปัญหานี้อย่างแข็งขัน และกำลังพยายามจัดการกับปัญหาให้กับบริการต่างๆ ของ AWS ซึ่งใช้ Log4j2 หรือมอบ Log4j2 ให้แก่ลูกค้าเพื่อเป็นส่วนหนึ่งของบริการของตน

เราสนับสนุนเป็นอย่างยิ่งให้ลูกค้าที่จัดการสภาพแวดล้อมที่มี Log4j2 ทำการอัปเดตเป็นเวอร์ชันล่าสุด หรือใช้กลไกการอัปเดตซอฟต์แวร์ของระบบปฏิบัติการของตน ดูข้อมูลเพิ่มเติมแบบเฉพาะบริการได้ที่ด้านล่าง

หากคุณต้องการรายละเอียดเพิ่มเติมหรือความช่วยเหลือ โปรดติดต่อ AWS Support

S3

S3 ดำเนินการแพตช์สำหรับปัญหาของ Apache Log4j2 (CVE-2021-44228) สำหรับการนำเข้าและส่งออกข้อมูลของ S3 เสร็จสมบูรณ์แล้วเมื่อวันที่ 11 ธันวาคม 2021 นอกจากนี้ เรายังได้ดำเนินการแพตช์ระบบอื่นๆ ทั้งหมดของ S3 ที่ใช้ Log4j2 เสร็จสมบูรณ์แล้วอีกด้วย

Amazon OpenSearch

Amazon OpenSearch Service กำลังปรับใช้การอัปเดตซอฟต์แวร์บริการเวอร์ชัน R20211203-P2 ซึ่งประกอบด้วย Log4j2 เวอร์ชันอัปเดต เราจะแจ้งให้ลูกค้าทราบเมื่อการอัปเดตดังกล่าวพร้อมใช้งานในรีเจี้ยนของลูกค้า และจะอัปเดตกระดานข่าวนี้เมื่อพร้อมใช้งานทั่วโลก

AWS Lambda

AWS Lambda ไม่ได้รวม Log4j2 ลงในรันไทม์ที่มีการจัดการหรืออิมเมจคอนเทนเนอร์พื้นฐาน ดังนั้นจึงไม่ได้รับผลกระทบจากปัญหาที่อธิบายไว้ใน CVE-2021-44228 ลูกค้าที่ใช้ไลบรารี aws-lambda-java-log4j2 ในฟังก์ชันของตนจะต้องอัปเดตเป็นเวอร์ชัน 1.3.0 แล้วปรับใช้อีกครั้ง

AWS CloudHSM

CloudHSM JCE SDK เวอร์ชันที่เก่ากว่า 3.4.1 ประกอบด้วย Apache Log4j เวอร์ชันที่ได้รับผลกระทบจากปัญหานี้ เมื่อวันที่ 10 ธันวาคม 2021 CloudHSM ได้เผยแพร่ JCE SDK v3.4.1 โดยมี Apache Log4j เวอร์ชันที่แก้ไขแล้ว หากคุณใช้ CloudHSM JCE เวอร์ชันที่เก่ากว่า 3.4.1 คุณอาจได้รับผลกระทบและควรบรรเทาปัญหาดังกล่าวโดยการอัปเกรด CloudHSM JCE SDK เป็นเวอร์ชัน 3.4.1 หรือสูงกว่า

Amazon EC2

Log4j เวอร์ชันที่พร้อมใช้งานในคลัง Amazon Linux 1 และ Amazon Linux 2 ไม่ได้รับผลกระทบจาก CVE-2021-44228 ดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตซอฟต์แวร์ที่เกี่ยวข้องกับความปลอดภัยสำหรับ Amazon Linux ได้ที่ศูนย์ความปลอดภัยของ Amazon Linux 

API Gateway

เรากำลังอัปเดต API Gateway เพื่อใช้ Log4j2 เวอร์ชันที่บรรเทาปัญหานี้ ในระหว่างการอัปเดตเหล่านี้ คุณอาจพบว่าเวลาแฝงเพิ่มสูงขึ้นเป็นระยะสำหรับ API บางรายการ

AWS Greengrass

การอัปเดตสำหรับองค์ประกอบทั้งหมดของ Greengrass V2 ที่ใช้ Log4j พร้อมสำหรับการปรับใช้งานได้ ณ วันที่ 10/12/2021 องค์ประกอบเหล่านี้ ได้แก่ Stream Manager (2.0.14) และ Secure Tunneling (1.0.6) AWS ขอแนะนำให้ลูกค้าที่ใช้องค์ประกอบของ Greengrass เหล่านี้ปรับใช้เวอร์ชันล่าสุดลงในอุปกรณ์ของตน

คุณสมบัติ Stream Manager ของ Greengrass เวอร์ชัน 1.10.x และ 1.11.x ใช้ Log4j การอัปเดตสำหรับคุณสมบัติ Stream Manager รวมอยู่ในแพตช์ Greengrass เวอร์ชัน 1.10.5 และ 1.11.5 ซึ่งทั้งสองเวอร์ชันพร้อมใช้งาน ณ วันที่ 12/12/2021 เราขอแนะนำเป็นอย่างยิ่งให้ลูกค้าที่มีเวอร์ชัน 1.10.x และ 1.11.x ซึ่งเปิดใช้งาน Stream Manager บนอุปกรณ์ (หรืออาจเปิดใช้งานในอนาคต) ทำการอัปเดตอุปกรณ์ของตนเป็นเวอร์ชันล่าสุด

CloudFront

บริการของ CloudFront ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 บริการด้านการจัดการคำขอของ CloudFront ที่ทำงานบน POP ของเราไม่ได้เขียนด้วยภาษา Java ดังนั้นจึงไม่ได้รับผลกระทบจากปัญหานี้

Elastic Beanstalk

AWS Elastic Beanstalk ติดตั้ง Log4j จากคลังแพคเกจเริ่มต้นของ Amazon Linux ในแพลตฟอร์ม Tomcat สำหรับ Amazon Linux 1 และ Amazon Linux 2 Log4j เวอร์ชันที่พร้อมใช้งานในคลัง Amazon Linux 1 และ Amazon Linux 2 ไม่ได้รับผลกระทบจาก CVE-2021-44228

หากคุณได้ทำการเปลี่ยนแปลงการกำหนดค่าสำหรับการใช้งาน Log4j ของแอปพลิเคชันของคุณ เราขอแนะนำให้คุณดำเนินการเพื่ออัปเดตโค้ดของแอปพลิเคชันเพื่อบรรเทาปัญหานี้

ตามแนวทางปฏิบัติทั่วไปของเรา หากมีการเผยแพร่เวอร์ชันที่มีแพตช์ของเวอร์ชันคลังแพคเกจเริ่มต้นเหล่านี้ Elastic Beanstalk จะรวมเวอร์ชันที่มีแพตช์ลงในการเผยแพร่เวอร์ชันบนแพลตฟอร์ม Tomcat ครั้งถัดไปสำหรับ Amazon Linux 1 และ Amazon Linux 2

 ดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตซอฟต์แวร์ที่เกี่ยวข้องกับความปลอดภัยสำหรับ Amazon Linux ได้ที่ศูนย์ความปลอดภัยของ Amazon Linux 

EMR

CVE-2021-44228 ส่งผลกระทบต่อ Apache Log4j เวอร์ชันที่อยู่ระหว่าง 2.0 ถึง 2.14.1 เมื่อประมวลผลอินพุตจากแหล่งที่มาที่ไม่น่าเชื่อถือ คลัสเตอร์ EMR ที่เปิดใช้ด้วยรุ่น EMR 5 และ EMR 6 จะรวมเฟรมเวิร์กแบบโอเพนซอร์ส เช่น Apache Hive, Flink, HUDI, Presto และ Trino ไว้ด้วย ซึ่งใช้ Apache Log4j ในเวอร์ชันเหล่านี้ เมื่อคุณเปิดใช้คลัสเตอร์ที่มีการกำหนดค่าเริ่มต้นของ EMR คลัสเตอร์ดังกล่าวจะไม่ประมวลผลอินพุตจากแหล่งที่มาที่ไม่น่าเชื่อถือ

เรากำลังพยายามอย่างแข็งขันในการสร้างการอัปเดตที่ช่วยบรรเทาปัญหาซึ่งระบุไว้ใน CVE-2021-44228 เมื่อเฟรมเวิร์กแบบโอเพนซอร์สที่ติดตั้งบนคลัสเตอร์ EMR ของคุณประมวลผลข้อมูลจากแหล่งที่มาที่ไม่น่าเชื่อถือ

Lake Formation

โฮสต์บริการของ Lake Formation กำลังได้รับการอัปเดตอย่างเร่งด่วนเป็น Log4j เวอร์ชันล่าสุดเพื่อจัดการกับปัญหาด้านความปลอดภัยซึ่งพบในเวอร์ชันที่อ้างอิงถึงใน CVE-2021-44228

AWS SDK

AWS SDK สำหรับ Java ใช้หน้าด่านการบันทึก และไม่มีการขึ้นต่อกันของรันไทม์กับ log4j ขณะนี้ เราเชื่อว่ายังไม่จำเป็นต้องทำการเปลี่ยนแปลงใดๆ กับ AWS SDK สำหรับ Java เกี่ยวกับปัญหานี้

AMS

เรากำลังเฝ้าติดตามปัญหานี้อย่างแข็งขัน และกำลังพยายามจัดการกับปัญหาให้กับบริการใดๆ ของ AWS ซึ่งใช้ Log4j2 เราสนับสนุนเป็นอย่างยิ่งให้ลูกค้าที่จัดการสภาพแวดล้อมที่มี Log4j2 ทำการอัปเดตเป็นเวอร์ชันล่าสุด หรือใช้กลไกการอัปเดตซอฟต์แวร์ของระบบปฏิบัติการของตน

Amazon Neptune

Amazon Neptune รวมไลบรารี Apache Log4j2 เป็นองค์ประกอบพ่วง แต่เราเชื่อว่าปัญหานี้ไม่ได้ส่งผลกระทบต่อผู้ใช้ Neptune เพื่อป้องกันไว้ก่อน คลัสเตอร์ Neptune จะอัปเดตโดยอัตโนมัติเพื่อใช้ Log4j2 เวอร์ชันที่จัดการแก้ไขปัญหาดังกล่าว โดยในระหว่างการอัปเดต ลูกค้าอาจพบว่าเหตุการณ์มีความไม่ต่อเนื่อง

NICE

เนื่องจาก CVE ในไลบรารี Apache Log4j ซึ่งรวมอยู่ใน EnginFrame ตั้งแต่เวอร์ชัน 2020.0 ถึง 2021.0-r1307 ทาง NICE จึงขอแนะนำให้คุณอัปเกรดเป็น EnginFrame เวอร์ชันล่าสุด หรืออัปเดตไลบรารี Log4j ในการติดตั้ง EnginFrame ของคุณโดยทำตามคำแนะนำบนเว็บไซต์การสนับสนุน

หากมีข้อสงสัยใดๆ โปรดติดต่อเรา

Kafka

Managed Streaming for Apache Kafka ตระหนักถึงปัญหาที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้ (CVE-2021-44228) ซึ่งเกี่ยวข้องกับไลบรารี Apache Log4j2 และกำลังนำการอัปเดตมาใช้ตามความจำเป็น โปรดทราบว่ารุ่นของ Apache Kafka และ Apache Zookeeper ที่นำเสนอใน MSK ใช้ log4j 1.2.17 อยู่ในปัจจุบัน ซึ่งไม่ได้รับผลกระทบจากปัญหานี้ องค์ประกอบบริการแบบเฉพาะ MSK บางรายการใช้ไลบรารี log4j > 2.0.0 และกำลังได้รับการแพตช์ตามความจำเป็น

AWS Glue

AWS Glue ตระหนักถึงปัญหาด้านความปลอดภัยที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้เกี่ยวกับยูทิลิตี “Log4j2" ของ Apache แบบโอเพนซอร์ส (CVE-2021-44228) เราได้อัปเดตฟลีตชั้นการควบคุมของเราที่ให้บริการ AWS Glue API สำหรับ Glue ทุกเวอร์ชันที่สนับสนุน

​AWS Glue สร้างสภาพแวดล้อมใหม่ของ Spark ที่แยกเป็นอิสระจากสภาพแวดล้อม Spark อื่นๆ ทั้งหมด ณ ระดับการจัดการและเครือข่ายภายในบัญชีบริการ AWS Glue งาน ETL ของคุณจะได้รับการดำเนินการในสภาพแวดล้อมแบบมีผู้เช่ารายเดียว หากงาน ETL ของคุณโหลด Apache Log4j เวอร์ชันที่เฉพาะเจาะจง เราขอแนะนำให้คุณอัปเดตสคริปต์เพื่อใช้ Apache Log4j เวอร์ชันล่าสุด หากคุณใช้ตำแหน่งข้อมูลการพัฒนาของ AWS Glue ในการเขียนสคริปต์ เราขอแนะนำให้คุณอัปเดตเวอร์ชันของ Log4j ที่คุณใช้ที่นั่นด้วยเช่นกัน

​นอกจากนี้ AWS Glue ยังนำการอัปเดตต่างๆ มาใช้อย่างเร่งด่วนกับสภาพแวดล้อมใหม่ของ Spark ทั่วทุกรีเจี้ยนที่สนับสนุน หากคุณมีข้อสงสัยหรือต้องการความช่วยเหลือเพิ่มเติม โปรดติดต่อเราผ่าน AWS Support

RDS

Amazon RDS และ Amazon Aurora กำลังจัดการปัญหาอย่างแข็งขันกับบริการทั้งหมดที่ใช้ Log4j2 โดยการนำการอัปเดตต่างๆ มาใช้ กลไกฐานข้อมูลเชิงสัมพันธ์ที่สร้างบน RDS ไม่ได้รวมไลบรารี Apache Log4j เอาไว้ด้วย ในส่วนที่มีผู้จำหน่ายต้นน้ำมาเกี่ยวข้อง เราจะนำการบรรเทาที่ผู้จำหน่ายแนะนำมาใช้ โดยในระหว่างการอัปเดตองค์ประกอบภายใน ลูกค้าอาจพบว่าเหตุการณ์มีความไม่ต่อเนื่อง

Amazon Connect

บริการของ Amazon Connect ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon DynamoDB 

Amazon DynamoDB และ Amazon DynamoDB Accelerator (DAX) ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon Keyspaces (for Apache Cassandra)

Amazon Keyspaces (for Apache Cassandra) ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228

Amazon MQ

Amazon MQ มีข้อควรพิจารณาสองประการเกี่ยวกับปัญหาที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้ (CVE-2021-44228) ซึ่งเกี่ยวข้องกับไลบรารี Apache Log4j2 โดยประการแรกคือโค้ดบริการของ Amazon MQ (เฉพาะเจาะจง AWS) ส่วนประการที่สองคือโค้ดแบบโอเพนซอร์ส (ตัวรับส่งข้อความของ Apache ActiveMQ และ RabbitMQ)

ณ วันที่ 13 ธันวาคม 2021 เราได้ดำเนินการอัปเดตทั้งหมดที่จำเป็นให้กับโค้ดบริการของ Amazon MQ เพื่อจัดการปัญหานี้

สำหรับตัวรับส่งข้อความแบบโอเพนซอร์ส ไม่จำเป็นต้องทำการอัปเดตใดๆ Apache ActiveMQ ทุกเวอร์ชันที่นำเสนอใน Amazon MQ ใช้ Log4j เวอร์ชัน 1.2.x ซึ่งไม่ได้รับผลกระทบจากปัญหานี้ RabbitMQ ไม่ได้ใช้ Log4j และไม่ได้รับผลกระทบจากปัญหานี้

Kinesis Data Analytics

Apache Flink เวอร์ชันที่ Kinesis Data Analytics สนับสนุนนั้นรวม Apache Log4j เวอร์ชันที่อยู่ระหว่าง 2.0 ถึง 2.14.1 เอาไว้ด้วย แอปพลิเคชันต่างๆ ของ Kinesis Data Analytics ดำเนินการในสภาพแวดล้อมแบบแยกเป็นอิสระที่มีผู้เช่ารายเดียว และไม่สามารถโต้ตอบกันได้

เรากำลังอัปเดตเวอร์ชันของ Log4j ที่พร้อมใช้งานกับแอปพลิเคชันของลูกค้า Kinesis Data Analytics ในรีเจี้ยนทั้งหมดของ AWS แอปพลิเคชันที่เริ่มหรืออัปเดตหลังจากเวลา 18.30 น. ตามเวลา PST ของวันที่ 12/12/2021 จะได้รับแพตช์ที่อัปเดตแล้วโดยอัตโนมัติ ลูกค้าที่เริ่มหรืออัปเดตแอปพลิเคชันก่อนหน้านั้นสามารถตรวจสอบให้แน่ใจว่าแอปพลิเคชันของตนทำงานบน Log4j เวอร์ชันที่อัปเดตแล้วได้โดยการเรียกใช้ UpdateApplication API ของ Kinesis Data Analytics โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับ UpdateApplication API

AWS ตระหนักถึงปัญหาด้านความปลอดภัยที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้เกี่ยวกับยูทิลิตี "Log4j2" ของ Apache แบบโอเพนซอร์ส (CVE-2021-44228) เรากำลังเฝ้าติดตามปัญหานี้อย่างแข็งขัน และกำลังพยายามจัดการกับปัญหาให้กับบริการต่างๆ ของ AWS ซึ่งใช้ Log4j2 หรือมอบ Log4j2 ให้แก่ลูกค้าเพื่อเป็นส่วนหนึ่งของบริการของตน

เราสนับสนุนเป็นอย่างยิ่งให้ลูกค้าที่จัดการสภาพแวดล้อมที่มี Log4j2 ทำการอัปเดตเป็นเวอร์ชันล่าสุด หรือใช้กลไกการอัปเดตซอฟต์แวร์ของระบบปฏิบัติการของตน

มีรายงานว่าการใช้ Log4j2 บน JDK หลังจาก 8u121 หรือ 8u191 (รวมถึง JDK 11 และใหม่กว่า) จะช่วยบรรเทาปัญหานี้ แต่ก็เป็นการบรรเทาเพียงส่วนหนึ่งเท่านั้น โซลูชันที่ครอบคลุมเพียงหนึ่งเดียวคือการอัปเกรด Log4j2 เป็นเวอร์ชัน 2.15 ส่วน Log4j2 เวอร์ชันที่เก่ากว่า 2.15 ควรถือว่าได้รับผลกระทบไม่ว่าจะใช้การเผยแพร่หรือเวอร์ชันใดของ JDK ก็ตาม

ดูข้อมูลเพิ่มเติมแบบเฉพาะบริการได้ที่ด้านล่าง

หากคุณต้องการรายละเอียดเพิ่มเติมหรือความช่วยเหลือ โปรดติดต่อ AWS Support

API Gateway

เรากำลังอัปเดต API Gateway เพื่อใช้ Log4j2 เวอร์ชันที่บรรเทาปัญหานี้ ในระหว่างการอัปเดตเหล่านี้ คุณอาจพบว่าเวลาแฝงเพิ่มสูงขึ้นเป็นระยะสำหรับ API บางรายการ

AWS Greengrass

การอัปเดตสำหรับองค์ประกอบทั้งหมดของ Greengrass V2 ที่ใช้ Apache Log4j2 พร้อมสำหรับการปรับใช้งานได้ ณ วันที่ 10/12/2021 องค์ประกอบเหล่านี้ ได้แก่ Stream Manager (2.0.14) และ Secure Tunneling (1.0.6) AWS ขอแนะนำให้ลูกค้าที่ใช้องค์ประกอบของ Greengrass เหล่านี้ปรับใช้เวอร์ชันล่าสุดลงในอุปกรณ์ของตน

การอัปเดตสำหรับ Greengrass เวอร์ชัน 1.10 และ 1.11 คาดว่าจะพร้อมใช้งานในวันที่ 17/12/2021 เราขอแนะนำให้ลูกค้าที่ใช้ Stream Manager บนอุปกรณ์เหล่านี้อัปเดตอุปกรณ์ของตนทันทีที่ไบนารีของ Greengrass พร้อมใช้งานสำหรับเวอร์ชันเหล่านี้ ในระหว่างนี้ ลูกค้าควรยืนยันว่าโค้ด Lambda แบบกำหนดเองของตนที่ใช้ Stream Manager บน Greengrass 1.10 หรือ 1.11 ไม่ได้ใช้ชื่อสตรีมและชื่อไฟล์ที่กำหนดเอง (สำหรับโปรแกรมส่งออกของ S3) ซึ่งอยู่นอกเหนือการควบคุมของลูกค้า เช่น ชื่อสตรีมหรือชื่อไฟล์ที่มีข้อความ “${"

Amazon MQ

Amazon MQ มีข้อควรพิจารณา 2 ประการเกี่ยวกับปัญหาที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้ (CVE-2021-44228) ซึ่งเกี่ยวข้องกับไลบรารี Apache Log4j2 โดยประการแรกคือโค้ดบริการของ Amazon MQ (เฉพาะเจาะจง AWS) ส่วนประการที่สองคือโค้ดแบบโอเพนซอร์ส (ตัวรับส่งข้อความของ Apache ActiveMQ และ RabbitMQ)

เรากำลังนำการอัปเดตทั้งหมดที่จำเป็นมาใช้กับโค้ดบริการของ Amazon MQ เพื่อจัดการปัญหานี้

สำหรับตัวรับส่งข้อความแบบโอเพนซอร์ส ไม่จำเป็นต้องทำการอัปเดตใดๆ Apache ActiveMQ ทุกเวอร์ชันที่นำเสนอใน Amazon MQ ใช้ Log4j เวอร์ชัน 1.x ซึ่งไม่ได้รับผลกระทบจากปัญหานี้ RabbitMQ ไม่ได้ใช้ Log4j2 และไม่ได้รับผลกระทบจากปัญหานี้

CloudFront

บริการของ CloudFront ได้รับการอัปเดตเพื่อบรรเทาปัญหาที่ระบุไว้ใน CVE-2021-44228 บริการด้านการจัดการคำขอของ CloudFront ที่ทำงานบน POP ของเราไม่ได้เขียนด้วยภาษา Java ดังนั้นจึงไม่ได้รับผลกระทบจากปัญหานี้

AWS Elastic Beanstalk

AWS Elastic Beanstalk ติดตั้ง Log4j จากคลังแพคเกจเริ่มต้นของ Amazon Linux ในแพลตฟอร์ม Tomcat สำหรับ Amazon Linux 1 และ Amazon Linux 2 Log4j เวอร์ชันที่พร้อมใช้งานในคลัง Amazon Linux 1 และ Amazon Linux 2 ไม่ได้รับผลกระทบจาก CVE-2021-44228

หากคุณได้ทำการเปลี่ยนแปลงการกำหนดค่าสำหรับการใช้งาน Log4j ของแอปพลิเคชันของคุณ เราขอแนะนำให้คุณดำเนินการเพื่ออัปเดตโค้ดของแอปพลิเคชันเพื่อบรรเทาปัญหานี้

ตามแนวทางปฏิบัติทั่วไปของเรา หากมีการเผยแพร่เวอร์ชันที่มีแพตช์ของเวอร์ชันคลังแพคเกจเริ่มต้นเหล่านี้ Elastic Beanstalk จะรวมเวอร์ชันที่มีแพตช์ลงในการเผยแพร่เวอร์ชันบนแพลตฟอร์ม Tomcat ครั้งถัดไปสำหรับ Amazon Linux 1 และ Amazon Linux 2

ดูข้อมูลเพิ่มเติมเกี่ยวกับการอัปเดตซอฟต์แวร์ที่เกี่ยวข้องกับความปลอดภัยสำหรับ Amazon Linux ได้ที่ศูนย์ความปลอดภัยของ Amazon Linux

EMR

CVE-2021-44228 ส่งผลกระทบต่อ Apache Log4j เวอร์ชันที่อยู่ระหว่าง 2.0 ถึง 2.14.1 เมื่อประมวลผลอินพุตจากแหล่งที่มาที่ไม่น่าเชื่อถือ คลัสเตอร์ EMR ที่เปิดใช้ด้วยรุ่น EMR 5 และ EMR 6 จะรวมเฟรมเวิร์กแบบโอเพนซอร์ส เช่น Apache Hive, Flink, HUDI, Presto และ Trino ไว้ด้วย ซึ่งใช้ Apache Log4j ในเวอร์ชันเหล่านี้ เมื่อคุณเปิดใช้คลัสเตอร์ที่มีการกำหนดค่าเริ่มต้นของ EMR คลัสเตอร์ดังกล่าวจะไม่ประมวลผลอินพุตจากแหล่งที่มาที่ไม่น่าเชื่อถือ

เรากำลังพยายามอย่างแข็งขันในการสร้างการอัปเดตที่ช่วยบรรเทาปัญหาซึ่งระบุไว้ใน CVE-2021-44228 เมื่อเฟรมเวิร์กแบบโอเพนซอร์สที่ติดตั้งบนคลัสเตอร์ EMR ของคุณประมวลผลข้อมูลจากแหล่งที่มาที่ไม่น่าเชื่อถือ

Lake Formation

โฮสต์บริการของ Lake Formation กำลังได้รับการอัปเดตอย่างเร่งด่วนเป็น Log4j เวอร์ชันล่าสุดเพื่อจัดการกับปัญหาซึ่งพบในเวอร์ชันที่อ้างอิงถึงใน CVE-2021-44228

S3

การนำเข้าและส่งออกข้อมูลของ S3 ได้รับการแพตช์เพื่อรับมือกับปัญหาของ Log4j2 เรากำลังดำเนินการเพื่อนำแพตช์ Log4j2 มาใช้กับระบบของ S3 ที่ทำงานแยกต่างหากจากการนำเข้าและส่งออกข้อมูลของ S3

AWS SDK

AWS SDK สำหรับ Java ใช้หน้าด่านการบันทึก และไม่มีการขึ้นต่อกันของรันไทม์กับ Log4j ขณะนี้ เราเชื่อว่ายังไม่จำเป็นต้องทำการเปลี่ยนแปลงใดๆ กับ AWS SDK สำหรับ Java เกี่ยวกับปัญหานี้

AMS

เรากำลังเฝ้าติดตามปัญหานี้อย่างแข็งขัน และกำลังพยายามจัดการกับปัญหาให้กับบริการใดๆ ของ AWS ที่ใช้ Log4j2 เราสนับสนุนเป็นอย่างยิ่งให้ลูกค้าที่จัดการสภาพแวดล้อมที่มี Log4j2 ทำการอัปเดตเป็นเวอร์ชันล่าสุด หรือใช้กลไกการอัปเดตซอฟต์แวร์ของระบบปฏิบัติการของตน

AMS ขอแนะนำให้ปรับใช้ Web Application Firewall (WAF) สำหรับตำแหน่งข้อมูลของแอปพลิเคชันทั้งหมดที่เข้าถึงได้ผ่านอินเทอร์เน็ต บริการของ AWS WAF สามารถกำหนดค่าเพื่อให้มีเลเยอร์เพิ่มเติมในการป้องกันปัญหานี้ได้โดยการปรับใช้ชุดกฎ AWSManagedRulesAnonymousIpList (ซึ่งประกอบด้วยกฎที่จะบล็อกแหล่งที่มาที่ทราบกันว่าจะนำข้อมูลไคลเอ็นต์ออก เช่น โหนด TOR) และชุดกฎ AWSManagedRulesKnownBadInputsRuleSet (ซึ่งจะตรวจสอบ URI, เนื้อความคำขอ และส่วนหัวที่ใช้กันทั่วไป เพื่อช่วยบล็อกคำขอที่เกี่ยวข้องกับ Log4j และปัญหาอื่นๆ)

AMS จะคอยติดตามปัญหานี้ต่อไป และให้รายละเอียดและคำแนะนำเพิ่มเติมเมื่อมีข้อมูล

Amazon Neptune

Amazon Neptune รวมไลบรารี Apache Log4j2 เป็นองค์ประกอบพ่วง แต่เราเชื่อว่าปัญหานี้ไม่ได้ส่งผลกระทบต่อผู้ใช้ Neptune เพื่อป้องกันไว้ก่อน คลัสเตอร์ Neptune จะอัปเดตโดยอัตโนมัติเพื่อใช้ Log4j2 เวอร์ชันที่จัดการแก้ไขปัญหาดังกล่าว โดยในระหว่างการอัปเดต ลูกค้าอาจพบว่าเหตุการณ์มีความไม่ต่อเนื่อง

NICE

เนื่องจาก CVE ในไลบรารี Apache Log4j ซึ่งรวมอยู่ใน EnginFrame ตั้งแต่เวอร์ชัน 2020.0 ถึง 2021.0-r1307 ทาง NICE จึงขอแนะนำให้คุณอัปเกรดเป็น EnginFrame เวอร์ชันล่าสุด หรืออัปเดตไลบรารี Log4j ในการติดตั้ง EnginFrame ของคุณโดยทำตามคำแนะนำบนเว็บไซต์การสนับสนุน

หากมีข้อสงสัยใดๆ โปรดติดต่อเรา

Kafka

Managed Streaming for Apache Kafka ตระหนักถึงปัญหาที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้ (CVE-2021-44228) ซึ่งเกี่ยวข้องกับไลบรารี Apache Log4j2 และกำลังนำการอัปเดตมาใช้ตามความจำเป็น โปรดทราบว่ารุ่นของ Apache Kafka และ Apache Zookeeper ที่นำเสนอใน MSK ใช้ Log4j 1.2.17 อยู่ในปัจจุบัน ซึ่งไม่ได้รับผลกระทบจากปัญหานี้ องค์ประกอบบริการแบบเฉพาะ MSK บางรายการใช้ไลบรารี Log4j > 2.0.0 และกำลังได้รับการแพตช์ตามความจำเป็น

AWS Glue

AWS Glue ตระหนักถึงปัญหาด้านความปลอดภัยที่เพิ่งได้รับการเปิดเผยเมื่อเร็วๆ นี้เกี่ยวกับยูทิลิตี “Log4j2" ของ Apache แบบโอเพนซอร์ส (CVE-2021-44228) เราได้อัปเดตฟลีตชั้นการควบคุมของเราที่ให้บริการ AWS Glue API สำหรับ Glue ทุกเวอร์ชันที่สนับสนุน

AWS Glue สร้างสภาพแวดล้อมใหม่ของ Spark ที่แยกเป็นอิสระจากสภาพแวดล้อม Spark อื่นๆ ทั้งหมด ณ ระดับการจัดการและเครือข่ายภายในบัญชีบริการ AWS Glue งาน ETL ของคุณจะได้รับการดำเนินการในสภาพแวดล้อมแบบมีผู้เช่ารายเดียว หากงาน ETL ของคุณโหลด Apache Log4j เวอร์ชันที่เฉพาะเจาะจง เราขอแนะนำให้คุณอัปเดตสคริปต์เพื่อใช้ Apache Log4j เวอร์ชันล่าสุด หากคุณใช้ตำแหน่งข้อมูลการพัฒนาของ AWS Glue ในการเขียนสคริปต์ เราขอแนะนำให้คุณอัปเดตเวอร์ชันของ Log4j ที่คุณใช้ที่นั่นด้วยเช่นกัน

นอกจากนี้ AWS Glue ยังนำการอัปเดตต่างๆ มาใช้อย่างเร่งด่วนกับสภาพแวดล้อมใหม่ของ Spark ทั่วทุกรีเจี้ยนที่สนับสนุน หากคุณมีข้อสงสัยหรือต้องการความช่วยเหลือเพิ่มเติม โปรดติดต่อเราผ่าน AWS Support

RDS

Amazon RDS และ Amazon Aurora กำลังจัดการปัญหาอย่างแข็งขันกับบริการทั้งหมดที่ใช้ Log4j2 โดยการนำการอัปเดตต่างๆ มาใช้ กลไกฐานข้อมูลเชิงสัมพันธ์ที่สร้างบน RDS ไม่ได้รวมไลบรารี Apache Log4j เอาไว้ด้วย ในส่วนที่มีผู้จำหน่ายต้นน้ำมาเกี่ยวข้อง เราจะนำการบรรเทาที่ผู้จำหน่ายแนะนำมาใช้ โดยในระหว่างการอัปเดตองค์ประกอบภายใน ลูกค้าอาจพบว่าเหตุการณ์มีความไม่ต่อเนื่อง

OpenSearch

Amazon OpenSearch Service กำลังปรับใช้การอัปเดตซอฟต์แวร์บริการเวอร์ชัน R20211203-P2 ซึ่งประกอบด้วย Log4j2 เวอร์ชันอัปเดต เราจะแจ้งให้ลูกค้าทราบเมื่อการอัปเดตดังกล่าวพร้อมใช้งานในรีเจี้ยนของลูกค้า และจะอัปเดตกระดานข่าวนี้เมื่อพร้อมใช้งานทั่วโลก