初始發布日期:2022/04/19 14:30 PST
CVE ID:CVE-2021-3100、CVE-2021-3101、CVE-2022-0070、CVE-2022-0071
2021 年 12 月 12 日,Amazon 公開發佈了用於執行 Java VM 的熱修補程式,該熱修補程式會停用 Java 命名與目錄介面 (JNDI) 類別的載入。此熱修補程式可立即緩解開放原始碼的 Apache “Log4j2”公用程式 (CVE-2021-44228 和 CVE-2021-45046) 中的關鍵問題,同時可讓系統管理員有充分的時間對受影響的環境進行全面修補。安全研究人員最近回報了此熱修補程式中存在的問題,以及與 Bottlerocket (“Hotdog”) 相關的 OCI 掛鉤。我們已在新發佈的熱修補程式和 Hotdog 版本中解決這些問題。我們建議在容器中執行 Java 應用程式並使用熱修補程式或 Hotdog 的客戶立即更新到最新版本的軟體。適用於 Amazon Linux 和 Amazon Linux 2 的熱修補程式的最新套件名稱和版本如下:
- Amazon Linux:log4j-cve-2021-44228-hotpatch-1.1-16.amzn1
- Amazon Linux 2:log4j-cve-2021-44228-hotpatch-1.1-16.amzn2
在 Amazon Linux 上使用 Apache Log4j 熱修補程式的客戶可以透過執行以下命令更新到最新的熱修補程式版本:sudo yum update。此熱修補程式需要包含最新 Linux 核心更新的環境,客戶在更新使用中的熱修補程式版本時不應跳過任何可用的核心更新。Amazon Linux 安全中心 https://alas.thinkwithwp.com 中提供了更多資訊。
使用已啟用 Hotpatch for Apache Log4j 功能的 Bottlerocket 的客戶應更新到最新版本的 Bottlerocket,其中包括最新版本的 Hotdog。
我們要感謝回報這些問題的 Palo Alto Networks。
有關安全性的問題或疑慮可以透過 aws-security@amazon.com 告知我們。