(翻訳) Apache Log4j2 の脆弱性 "CVE-2021-44228" に関する AWS からのアナウンス

記事タイトルとURLをコピーする

Apache Log4j2 に極めて重大な脆弱性が発見されました。

nvd.nist.gov

access.redhat.com

各方面からアナウンスが出ていますが、AWS でもこの問題は認識されており、AWS サービス固有のインパクトに関しては 2021/12/10 7:20 PM PDT (2021/12/11 11:20 AM JST) に AWS からのアナウンスが出ています。

aws.amazon.com

このブログでは、上記の記事の内容を翻訳してお伝えします。

免責;

"※" で始まる但し書きの箇所は訳者による注釈であり、原文に準拠するものではありません。予めご了承ください。

この翻訳記事の内容は 2021/12/11 (Sat) 15:00 JST 時点で確認した内容であることをご了承ください。

本記事は速報記事であり、内容の正確性を完全に保証するものではありません。最新の正確な情報に関しては、参照元となった原文記事をご参照ください。

2021/12/15 追記

本件に関して、AWS から続報が出ました。

続報の翻訳記事を以下で公開しておりますので、最新情報はこちらをご覧ください。

blog.serverworks.co.jp

序文

Apache Log4j2 のセキュリティイシューについて、AWS は認識しています。この問題についての動向を AWS は注視しており、Log4j2 を利用している、またはサービスの一部として提供しているすべての AWS サービスについてこの問題への対処を行っています。

Log4j2 を含む環境を管理しているお客様には、Log4j2 を最新バージョンにアップデートすることを強く推奨します。アップデートは、 Download Apache Log4j 2 からのダウンロード、あるいは OS のソフトウェアアップデートの仕組み (※ yum など) を用います。

サービス固有の情報を以下に示します。

Amazon EC2

Amazon Linux 2 のデフォルトパッケージレポジトリで使用可能な Log4j2 のバージョン (1.2.17 - 16) は、この問題の影響を受けません。

Log4j の設定をカスタムしているお客様を保護するため、私たちは Amazon Linux 2 で使用可能な Log4j2 のアップデートバージョンの作成に取り組んでいます。利用可能になったら、お客様にお知らせします。

Amazon Linux 1 のデフォルトパッケージレポジトリで利用可能な Log4j2 のバージョン (1.2.16-6) は、この問題の影響を受けません。

Log4j の設定をカスタムしているお客様を保護するため、私たちは Amazon Linux 1 で使用可能な Log4j2 のアップデートバージョンの作成に取り組んでいます。利用可能になったら、お客様にお知らせします。

Amazon Linux におけるソフトウェアのセキュリティ関連の情報は、 Amazon Linux Security Advisories にて確認可能です。

alas.aws.amazon.com.

AWS WAF / Shield

Log4j のセキュリティ問題に起因するリスクの検出と緩和を改善するために、AWS WAF サービスの "AWSManagedRulesKnownBadInputsRuleSet AMR" を更新しました。

※ AWSManagedRulesKnownBadInputsRuleSet とは、AWS-Managed な WAF の検知ルールの名称です。 AWS Managed Rules rule groups list - AWS WAF, AWS Firewall Manager, and AWS Shield Advanced こちらのドキュメントを参照ください。

CloudFront, Application Load Balancer (ALB), API Gateway, AppSync を利用するお客様は、このオプションをすぐに適用することができ、リスクの緩和が可能です。

AWS WAF の web ACL を作成し、"AWSManagedRulesKnownBadInputsRuleSet" を web ACL に追加し、お使いの CloudFront ディストリビューション/ALB/API Gateway/AppSync GraphQL API に関連付けすることで、AWS WAF は URI/リクエストボディ/一般的に使用されるヘッダーを検査します。

AWS WAF を始めるための情報は以下のドキュメントをご覧ください。

docs.aws.amazon.com

AMR (Amazon Managed Rules) に関するさらなる情報は以下のドキュメントをご覧ください。

docs.aws.amazon.com

AWS WAF Classic では、AMR はご利用いただけません。AWS WAF (wafv2) にアップグレードすることで、この緩和オプションのメリットを受けられます。

2021年12月13日追記

※ WafCharm に関連して記載しておりますが、AWS WAF v2 単体でご利用されている場合にも有効な「マネージドルールグループ で Log4JRCE を利用する」手順を以下のブログでご案内しておりますため、合わせてご覧ください。

blog.serverworks.co.jp

Amazon OpenSearch

すべての OpenSearch ドメインをアップデートしており、今回の問題に対応したバージョンの Log4j2 を使用するようにしています。

アップデート中は、お使いのドメイン上で断続的なアクティビティが発生する可能性があります。

AWS Lambda

AWS Lambda は、マネージドランタイムやベースコンテナイメージに Log4j2 を含んでいません。そのため、 CVE-2021-44228 による問題の影響を受けません。

aws-lambda-java-log4j2 ( https://repo1.maven.org/maven2/com/amazonaws/aws-lambda-java-log4j2/ ) ライブラリを function に使用しているお客様は、バージョンを 1.3.0 をアップデートし、再デプロイする必要があります

Amazon CloudHSM

CloudHSM JCE SDK の 3.4.1 より前のバージョンは、今回の問題の影響を受ける Apache Log4j のバージョンを含んでいます

2021年12月10日、CloudHSM は Apache Log4j のバージョンを修正した JCE SDK v3.4.1 をリリースしました。

CloudHSM JCE SDK のバージョンが 3.4.1 より以前のものを使用している場合、影響を受ける可能性があります。CloudHSM JCE SDK を3.4.1 以上のバージョンにアップデートし、問題を修復する必要があります [1]。

[1] https://docs.aws.amazon.com/cloudhsm/latest/userguide/java-library-install.html

docs.aws.amazon.com