AWS Apache Log4j2問題における対応状況

この記事を書いたメンバー:

Kiyoto Takara

AWS Apache Log4j2問題における対応状況

目次

AWS公式サイトからアナウンスされているApache Log4j2問題における対応状況をお知らせします。

log4j2の問題と対策についてはIPAから出ている情報が詳しいのでこちらもご確認ください。
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html

AWSの公式はこちらになります。
https://aws.amazon.com/jp/security/security-bulletins/AWS-2021-006/

内容は2021年12月14日(火) 19:45(JST)時点のものとなります。
ユーザ側で対応が必要な場合があるものを抜粋して掲載します。

AWS IoT SiteWise Edge

Log4jを使用するすべてのAWSIoT SiteWise Edgeコンポーネントのアップデートは、2021年12月13日にデプロイできるようになりました。これらのコンポーネントは、OPC-UAコレクター(v2.0.3)、データ処理パック(v2.0.14)、およびパブリッシャー(v2.0.2)です。AWSでは、これらのコンポーネントを使用しているお客様は、SiteWiseEdgeゲートウェイに最新バージョンをデプロイすることをお勧めします。

Amazon Kinesis Data Analytics

Amazon Kinesis DataAnalyticsでサポートされているApacheFlinkのバージョンには、2.0〜2.14.1のApacheLog4jバージョンが含まれています。Kinesis Data Analyticsアプリケーションは、シングルテナントの分離された環境で動作し、相互に対話することはできません。

すべてのAWSリージョンのKinesisDataAnalyticsカスタマーアプリケーションで利用できるLog4jのバージョンを更新しています。2021年12月12日の午後6時30分PST以降に開始または更新されたアプリケーションは、更新されたパッチを自動的に受信します。
それ以前にアプリケーションが開始または更新されたお客様は、Kinesis Data Analytics UpdateApplication APIを呼び出すことで、アプリケーションが更新されたバージョンのLog4jで実行されることを確認できます。UpdateApplication APIの詳細については、サービスのドキュメントを参照してください

Amazon Kinesis Data Streams

すべてのKCLバージョン1.xのお客様は、こちらから入手できるKCLバージョン1.14.5(またはそれ以降)にアップグレードすることを強くお勧めします。
更新を適用することにより、Log4j2を使用するすべてのサブシステムに積極的にパッチを適用しています。Kinesisクライアントライブラリ(KCL)バージョン2.XおよびKinesisプロデューサーライブラリ(KPL)は影響を受けません。KCL 1.xを使用しているお客様には、更新バージョンをリリースしました。

Amazon Managed Streaming for Apache Kafka (MSK)

Apache Log4j2ライブラリに関連する最近開示された問題(CVE-2021-44228)を認識しており、必要に応じて更新を適用しています。MSKで提供されているApacheKafkaおよびApacheZookeeperのビルドは、現在Log4j 1.2.17を使用していることに注意してください。これは、この問題の影響を受けません。一部のMSK固有のサービスコンポーネントはLog4j> 2.0.0ライブラリを使用し、必要に応じてパッチが適用されています。

Amazon OpenSearch Service

Amazon OpenSearch Serviceは、すべてのリージョンでLog4j2の更新バージョンを含む重要なサービスソフトウェアアップデートR20211203-P2をリリースしました。OpenSearchクラスターをこのリリースにできるだけ早く更新することを強くお勧めします。Amazon OpenSearchサービスソフトウェアの更新の詳細については、https://docs.aws.amazon.com/opensearch-service/latest/developerguide/service-software.htmlを参照してください。

Amazon RDS

AmazonRDSとAmazonAuroraは、アップデートを適用することにより、Log4j2のすべてのサービス使用に積極的に取り組んでいます。RDSで構築されたリレーショナルデータベースエンジンには、ApacheLog4j2ライブラリは含まれていません。上流のベンダーが関与している場合、推奨される緩和策を適用しています。お客様は、内部コンポーネントの更新中に断続的なイベントを観察する場合があります。

AWS CloudHSM

3.4.1より前のAWSCloudHSM JCE SDKバージョンには、この問題の影響を受けるバージョンのApacheLog4jが含まれています。2021年12月10日、CloudHSMはApacheLog4jの修正バージョンを含むJCESDKv3.4.1をリリースしました。3.4.1より前のバージョンのCloudHSMJCEを使用している場合は、影響を受ける可能性があるため、CloudHSM JCESDKをバージョン3.4.1以降にアップグレードすることで問題を軽減する必要があります。

AWS Elastic Beanstalk

AWS Elastic Beanstalkは、Amazon Linux1およびAmazonLinux2のTomcatプラットフォームにAmazonLinuxデフォルトパッケージリポジトリからLog4jをインストールします。AmazonLinux1およびAmazonLinux 2リポジトリで使用可能なLog4jのバージョンは、CVE-2021-44228の影響を受けません。アプリケーションでのLog4jの使用に構成変更を加えた場合は、この問題を軽減するために、アプリケーションのコードを更新するためのアクションを実行することをお勧めします。通常の慣行に従い、これらのデフォルトのパッケージリポジトリバージョンのパッチが適用されたバージョンがリリースされた場合、Elastic Beanstalkは、Amazon Linux1およびAmazonLinux2の次のTomcatプラットフォームバージョンリリースにパッチが適用されたバージョンを含めます。Amazon Linuxのセキュリティ関連のソフトウェアアップデートの詳細については、AmazonLinuxセキュリティセンターを参照してください

AWS Glue

AWS Glueは、オープンソースのApache「Log4j2」ユーティリティ(CVE-2021-44228)に関連する最近開示されたセキュリティ問題を認識しています。サポートされているすべてのGlueバージョンのAWS GlueAPIを提供するコントロールプレーンフリートを更新しました。AWS Glueは、ネットワークおよび管理レベルでAWSGlueサービスアカウント内の他のすべてのSpark環境から分離された新しいSpark環境を作成します。ETLジョブは、単一のテナント環境で実行されます。特定のバージョンのApacheLog4jを含むETLジョブまたは開発エンドポイントで使用するカスタムjarファイルをアップロードした場合は、最新バージョンのApacheLog4jを使用するようにjarを更新することをお勧めします。AWS Glueは、サポートされているすべてのリージョンの新しいSpark環境に更新を積極的に適用しています。ご不明な点がある場合、または追加のサポートが必要な場合は、AWSサポートにお問い合わせください。

AWS Greengrass

Log4jを使用するすべてのAWSGreengrass V2コンポーネントのアップデートは、2021年12月10日からデプロイ可能です。これらのコンポーネントは、Stream Manager(2.0.14)およびSecure Tunneling(1.0.6)です。AWSでは、これらのGreengrassコンポーネントを使用しているお客様は、最新バージョンをデバイスにデプロイすることをお勧めします。Greengrassバージョン1.10.xおよび1.11.xのStreamManager機能は、Log4jを使用します。Stream Manager機能の更新は、Greengrassパッチバージョン1.10.5および1.11.5に含まれています。これらは、どちらも2021年12月12日から利用可能です。デバイスでStreamManagerを有効にしている(または将来有効にする可能性がある)バージョン1.10.xおよび1.11.xのお客様は、デバイスを最新バージョンに更新することを強くお勧めします。

AWS Lambda

AWS Lambdaは、マネージドランタイムまたはベースコンテナイメージにLog4j2を含めません。したがって、これらはCVE-2021-44228で説明されている問題の影響を受けません。関数でaws-lambda-java-log4j2ライブラリを使用しているお客様は、バージョン1.3.0にアップデートして再デプロイする必要があります。

AWS Web Application Firewall (WAF)

最近のLog4jセキュリティ問題に関連する検出と軽減を改善するために、CloudFront、Application Load Balancer(ALB)、API Gateway、およびAppSyncのお客様は、オプションでAWS WAFを有効にし、AWSManagedRulesKnownBadInputsRuleSetとAWSManagedRulesAnonymousIpListの2つのAWSマネージドルール(AMR)を適用できます。
AWSManagedRulesKnownBadInputsRuleSetは、リクエストのURI、本文、および一般的に使用されるヘッダーを検査しますが、AWSManagedRulesAnonymousIpListは、ビューアIDの難読化を可能にするサービスからのリクエストをブロックするのに役立ちます。これらのルールを適用するには、AWS WAF Web ACLを作成し、一方または両方のルールセットをWeb ACLに追加してから、Web ACLをCloudFrontディストリビューション、ALB、API Gateway、またはAppSync GraphQLAPIに関連付けます。

NICE

EnginFrameにバージョン2020.0から2021.0-r1307に含まれているApacheLog4jライブラリのCVEのため、NICEは、最新のEnginFrameバージョンにアップグレードするか、サポートWebサイトの指示に従ってEnginFrameインストールのLog4jライブラリを更新することをお勧めします。

AMS

Log4j2を使用するすべてのAMSサービスでこの問題に対処するよう取り組んでいます。Log4j2を含む環境を管理しているお客様には、最新バージョンに更新するか、オペレーティングシステムのソフトウェア更新メカニズムを使用することを強くお勧めします。

カテゴリー

この記事を書いたメンバー

Kiyoto Takara
デジタルプラットフォーム本部マネージドサービス部 第1グループ
Kiyoto Takara

2021年5月に地元へUターン。沖縄からリモートでお仕事しています。

最近はCSPMに興味を持っています。

SAPシステムや基幹システムのクラウド移行・構築・保守、
DXに関して
お気軽にご相談ください

03-6260-6240 (受付時間 平日9:30〜18:00)