Amazon EMR Bootstrap-Aktionslösung für Log4j CVE -2021-44228 & -2021-45046 CVE Häufig gestellte Fragen

Ansatz zur Minderung CVE -2021-44228

Anmerkung

Für EMR Amazon-Version 6.9.0 und höher verwenden alle von Amazon installierten Komponenten, EMR die Log4j-Bibliotheken verwenden, Log4j Version 2.17.1 oder höher.

Amazon EMR läuft weiter EC2

Das in CVE-2021-44228 behandelte Problem ist für Apache Log4j-Kernversionen zwischen 2.0.0 und 2.14.1 relevant, wenn Eingaben aus nicht vertrauenswürdigen Quellen verarbeitet werden. EMRAmazon-Cluster, die mit Amazon EMR 5.x-Versionen bis 5.34.0 und EMR 6.x-Versionen bis Amazon EMR 6.5.0 gestartet wurden, enthalten Open-Source-Frameworks wie Apache Hive, Flink,, Presto und Trino, die diese Versionen von Apache Log4j verwenden. HUDI Viele Kunden verwenden jedoch die auf ihren EMR Amazon-Clustern installierten Open-Source-Frameworks, um Eingaben aus nicht vertrauenswürdigen Quellen zu verarbeiten und zu protokollieren.

Wir empfehlen Ihnen, die „Amazon EMR Bootstrap Action Solution for Log4j CVE -2021-44228“ wie im folgenden Abschnitt beschrieben anzuwenden. Diese Lösung adressiert auch -2021-45046. CVE

Anmerkung

Die Bootstrap-Aktionsskripte für Amazon EMR wurden am 7. September 2022 aktualisiert und enthalten nun schrittweise Bugfixes und Verbesserungen für Oozie. Wenn Sie Oozie verwenden, sollten Sie die aktualisierte Amazon EMR Bootstrap Action-Lösung anwenden, die im folgenden Abschnitt beschrieben wird.

Amazon EMR auf EKS

Wenn Sie Amazon EMR on EKS mit der Standardkonfiguration verwenden, sind Sie von dem in CVE -2021-44228 beschriebenen Problem nicht betroffen, und Sie müssen die im Abschnitt beschriebene Lösung nicht anwenden. Amazon EMR Bootstrap-Aktionslösung für Log4j CVE -2021-44228 & -2021-45046 CVE Für Amazon EMR on EKS verwendet die EMR Amazon-Runtime für Spark Apache Log4j Version 1.2.17. Wenn Sie Amazon EMR on verwenden, sollten EKS Sie die Standardeinstellung für die log4j.appender Komponente nicht auf ändernlog.

Amazon EMR Bootstrap-Aktionslösung für Log4j CVE -2021-44228 & -2021-45046 CVE

Diese Lösung bietet eine EMR Amazon-Bootstrap-Aktion, die auf Ihre EMR Amazon-Cluster angewendet werden muss. Für jede EMR Amazon-Version finden Sie unten einen Link zu einem Bootstrap-Aktionsskript. Sie sollten die folgenden Schritte ausführen, um diese Bootstrap-Aktion anzuwenden:

Kopieren Sie das Skript, das Ihrer EMR Amazon-Version entspricht, in einen lokalen S3-Bucket in Ihrem AWS-Konto. Bitte stellen Sie sicher, dass Sie ein Bootstrap-Skript verwenden, das für Ihre EMR Amazon-Version spezifisch ist.
Richten Sie eine Bootstrap-Aktion für Ihre EMR Cluster ein, um das in Ihren S3-Bucket kopierte Skript gemäß den in EMR der Dokumentation beschriebenen Anweisungen auszuführen. Wenn Sie andere Bootstrap-Aktionen für Ihre EMR Cluster konfiguriert haben, stellen Sie bitte sicher, dass dieses Skript als erstes Bootstrap-Aktionsskript eingerichtet ist, das ausgeführt wird.
Beenden Sie vorhandene EMR Cluster und starten Sie neue Cluster mit dem Bootstrap-Aktionsskript. AWS empfiehlt, dass Sie die Bootstrap-Skripte in Ihrer Testumgebung testen und Ihre Anwendungen validieren, bevor Sie sie in Ihrer Produktionsumgebung anwenden. Wenn Sie nicht die neueste Version für eine EMR Nebenversion (z. B. 6.3.0) verwenden, müssen Sie die neueste Version (z. B. 6.3.1) verwenden und dann die oben beschriebene Lösung anwenden.

CVE-2021-44228 & CVE -2021-45046 - Bootstrap-Skripte für Amazon-Releases EMR
EMRAmazon-Veröffentlichungsnummer	Skript-Speicherort	Datum der Veröffentlichung des Skripts
6.5.0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.5.0-v2.sh`	24. März 2022
6.4.0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.4.0-v2.sh`	24. März 2022
6.3.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.3.1-v2.sh`	24. März 2022
6.2.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.2.1-v2.sh`	24. März 2022
6.1.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.1.1-v2.sh`	14. Dezember 2021
6.0.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.0.1-v2.sh`	14. Dezember 2021
5,34,0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.34.0-v2.sh`	12. Dezember 2021
5,33,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.33.1-v2.sh`	12. Dezember 2021
5.32,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.32.1-v2.sh`	13. Dezember 2021
5.31,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.31.1-v2.sh`	13. Dezember 2021
5,30,2	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.30.2-v2.sh`	14. Dezember 2021
5.29,0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.29.0-v2.sh`	14. Dezember 2021
5,28,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.28.1-v2.sh`	15. Dezember 2021
5,27,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.27.1-v2.sh`	15. Dezember 2021
5,26,0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.26.0-v2.sh`	15. Dezember 2021
5,25,0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.25.0-v2.sh`	15. Dezember 2021
5,24,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.24.1-v2.sh`	15. Dezember 2021
5.23,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.23.1-v2.sh`	15. Dezember 2021
5,22,0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.22.0-v2.sh`	15. Dezember 2021
5,21,2	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.21.2-v2.sh`	15. Dezember 2021
5,20,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.20.1-v2.sh`	15. Dezember 2021
5.19,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.19.1-v2.sh`	15. Dezember 2021
5.18.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.18.1-v2.sh`	15. Dezember 2021
5.17.2	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.17.2-v2.sh`	15. Dezember 2021
5.16.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.16.1-v2.sh`	15. Dezember 2021
5.15,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.15.1-v2.sh`	15. Dezember 2021
5.14.2	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.14.2-v2.sh`	15. Dezember 2021
5.13.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.13.1-v2.sh`	15. Dezember 2021
5.12.3	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.12.3-v2.sh`	15. Dezember 2021
5.11.4	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.11.4-v2.sh`	15. Dezember 2021
5.10.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.10.1-v2.sh`	15. Dezember 2021
5.9.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.9.1-v2.sh`	15. Dezember 2021
5.8.3	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.8.3-v2.sh`	15. Dezember 2021
5.7.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.7.1-v2.sh`	15. Dezember 2021

EMRVersion veröffentlichen	Letzte Version vom Dezember 2021
6.3.0	6.3.1
6.2.0	6.2.1
6.1.0	6.1.1
6.0.0	6.0.1
5.33,0	5.33,1
5,32,0	5,32,1
5,31,0	5,31,1
5.30.0 oder 5.30.1	5,30,2
5,28,0	5,28,1
5,27,0	5,27,1
5,24,0	5,24,1
5,23,0	5.23,1
5.21.0 oder 5.21.1	5.21.2
5,20,0	5,20,1
5.19,0	5.19.1
5.18.0	5.18.1
5.17.0 oder 5.17.1	5.17.2
5.16.0	5.16.1
5.15.0	5.15,1
5.14.0 oder 5.14.1	5.14.2
5.13.0	5.13.1
5.12,0, 5.12,1, 5.12,2	5.12.3
5.11.0, 5.11.1, 5.11.2, 5.11.3	5.11.4
5.9.0	5.9.1
5.8.0, 5.8.1, 5.8.2	5.8.3
5.7.0	5.7.1

Häufig gestellte Fragen

Sind EMR Versionen, die älter als EMR 5 sind, von -2021-44228 betroffen? CVE

Nein. EMRVersionen vor EMR Version 5 verwenden Log4j-Versionen, die älter als 2.0 sind.
Adressiert diese Lösung -2021-45046CVE?

Ja, diese Lösung adressiert auch -2021-45046. CVE
Unterstützt die Lösung benutzerdefinierte Anwendungen, die ich auf meinen Clustern installiere? EMR

Das Bootstrap-Skript aktualisiert nur JAR Dateien, die von installiert wurdenEMR. Wenn Sie benutzerdefinierte Anwendungen und JAR Dateien auf Ihren EMR Clustern über Bootstrap-Aktionen, als an Ihre Cluster übermittelte Schritte, mithilfe von benutzerdefiniertem Amazon Linux AMI oder über einen anderen Mechanismus installieren und ausführen, ermitteln Sie gemeinsam mit Ihrem Anwendungsanbieter, ob Ihre benutzerdefinierten Anwendungen von CVE -2021- 44228 betroffen sind, und suchen Sie nach einer geeigneten Lösung.
Wie sollte ich mit benutzerdefinierten Docker-Images mit EMR on EKS umgehen?

Wenn Sie benutzerdefinierte Anwendungen EKS mithilfe benutzerdefinierter Docker-Images zu EMR Amazon hinzufügen oder Jobs mit EKSwith benutzerdefinierten Anwendungsdateien EMR an Amazon senden, ermitteln Sie gemeinsam mit dem Anbieter der Anwendung, ob Ihre benutzerdefinierten Anwendungen von CVE -2021-44228 betroffen sind, und ermitteln Sie eine geeignete Lösung.
Wie funktioniert das Bootstrap-Skript, um das in -2021-44228 und -2021-45046 beschriebene Problem zu beheben? CVE CVE

Das Bootstrap-Skript aktualisiert die Startanweisungen, indem es einen neuen Befehlssatz EMR hinzufügt. Diese neuen Anweisungen löschen die JndiLookup Klassendateien, die über Log4j von allen Open-Source-Frameworks verwendet werden, die von installiert wurden. EMR Dies folgt der von Apache veröffentlichten Empfehlung zur Behebung der Log4j-Probleme.
Gibt es ein UpdateEMR, das Log4j-Versionen 2.17.1 oder höher verwendet?

EMR5 Releases bis Version 5.34 und EMR 6 Releases bis Version 6.5 verwenden ältere Versionen von Open-Source-Frameworks, die mit den neuesten Versionen von Log4j nicht kompatibel sind. Wenn Sie diese Versionen weiterhin verwenden, empfehlen wir Ihnen, die Bootstrap-Aktion anzuwenden, um die in der beschriebenen Probleme zu beheben. CVEs Nach Version EMR 5 5.34 und EMR 6 Version 6.5 werden Anwendungen, die Log4j 1.x und Log4j 2.x verwenden, auf Log4j 1.2.17 (oder höher) bzw. Log4j 2.17.1 (oder höher) aktualisiert, sodass die oben genannten Bootstrap-Aktionen nicht erforderlich sind, um die CVE Probleme zu beheben.
Sind EMR Versionen von -2021-45105 betroffen? CVE

Die von Amazon EMR mit EMR den Standardkonfigurationen installierten Anwendungen sind von CVE -2021-45105 nicht betroffen. Unter den von Amazon EMR installierten Anwendungen verwendet nur Apache Hive Apache Log4j mit Kontext-Lookups und verwendet kein vom Standard abweichendes Muster-Layout, sodass unangemessene Eingabedaten verarbeitet werden können.

Ist Amazon von einer der folgenden CVE Offenlegungen EMR betroffen?

Die folgende Tabelle enthält eine Liste davonCVEs, die sich auf Log4j beziehen, und gibt an, ob sie sich jeweils CVE auf Amazon auswirken. EMR Die Informationen in dieser Tabelle gelten nur, wenn Anwendungen von Amazon EMR mit den Standardkonfigurationen installiert werden.

CVE	Auswirkungen EMR	Hinweise
CVE-2022 23302	Nein	Amazon EMR richtet Log4j nicht ein JMSSink
CVE-202223305	Nein	Amazon EMR richtet Log4j nicht ein JDBCAppender
CVE-202223307	Nein	Amazon EMR richtet Log4j Chainsaw nicht ein
CVE-2020-9493	Nein	Amazon EMR richtet Log4j Chainsaw nicht ein
CVE-2021-44832	Nein	Amazon EMR richtet Log4j nicht JDBCAppender mit einer Verbindungszeichenfolge ein JNDI
CVE-2021-4104	Nein	Amazon verwendet Log4j EMR nicht JMSAppender
CVE-2020-9488	Nein	Die von Amazon installierten Anwendungen verwenden Log4j EMR nicht SMTPAppender
CVE-2019-17571	Nein	Amazon EMR blockiert den öffentlichen Zugriff auf Cluster und startet nicht SocketServer
CVE-2019-17531	Nein	Wir empfehlen Ihnen, auf die neueste EMR Amazon-Release-Version zu aktualisieren. Amazon EMR 5.33.0 und höher verwenden jackson-databind 2.6.7.4 oder höher, und EMR 6.1.0 und höher verwenden jackson-databind 2.10.0 oder höher. Diese Versionen von jackson-databind sind von dem nicht betroffen. CVE

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Neuerungen?

Archiv