Solución de acción EMR bootstrap de Amazon para Log4j -2021-44228 y -2021-45046 CVE CVE Preguntas frecuentes

Enfoque para mitigar la -2021-44228 CVE

nota

Para la EMR versión 6.9.0 y posteriores de Amazon, todos los componentes instalados por Amazon EMR que utilizan bibliotecas Log4j utilizan Log4j versión 2.17.1 o posterior.

Amazon EMR se ejecuta en EC2

El problema discutido en CVE-2021-44228 es relevante para las versiones principales de Apache Log4j entre la 2.0.0 y la 2.14.1 cuando se procesan entradas de fuentes que no son de confianza. EMRLos clústeres de Amazon lanzados con las versiones EMR 5.x de Amazon hasta la 5.34.0 y las versiones EMR 6.x hasta Amazon EMR 6.5.0 incluyen marcos de código abierto como Apache Hive, Flink, Presto y TrinoHUDI, que utilizan estas versiones de Apache Log4j. Sin embargo, muchos clientes utilizan los marcos de código abierto instalados en sus EMR clústeres de Amazon para procesar y registrar las entradas de fuentes que no son de confianza.

Le recomendamos que aplique la «Amazon EMR Bootstrap Action Solution para Log4j CVE -2021-44228" tal y como se describe en la siguiente sección. Esta solución también aborda el problema -2021-45046. CVE

nota

Los scripts de acción bootstrap para Amazon EMR se actualizaron el 7 de septiembre de 2022 para incluir correcciones de errores incrementales y mejoras para Oozie. Si utilizas Oozie, debes aplicar la solución de acción EMR bootstrap de Amazon actualizada que se describe en la siguiente sección.

Amazon EMR en EKS

Si utilizas Amazon EMR on EKS con la configuración predeterminada, no te afectará el problema descrito en CVE -2021-44228 y no tendrás que aplicar la solución descrita en la sección. Solución de acción EMR bootstrap de Amazon para Log4j -2021-44228 y -2021-45046 CVE CVE Para Amazon EMR onEKS, el motor de EMR ejecución de Amazon para Spark usa Apache Log4j versión 1.2.17. Cuando utilices Amazon EMR on, no EKS debes cambiar la configuración predeterminada del log4j.appender componente alog.

Solución de acción EMR bootstrap de Amazon para Log4j -2021-44228 y -2021-45046 CVE CVE

Esta solución proporciona una acción de EMR arranque de Amazon que debe aplicarse en tus EMR clústeres de Amazon. Para cada EMR versión de Amazon, encontrarás un enlace a un script de acción bootstrap a continuación. Para aplicar esta acción de arranque, debe completar los siguientes pasos:

Copia el script correspondiente a tu EMR versión de Amazon en un bucket de S3 local de tu Cuenta de AWS. Asegúrese de utilizar un script de arranque específico para su EMR versión de Amazon.
Configure una acción de arranque para que sus EMR clústeres ejecuten el script copiado en su bucket de S3 según las instrucciones descritas en EMR la documentación. Si tiene otras acciones de arranque configuradas para sus EMR clústeres, asegúrese de que este script esté configurado como el primer script de acción de arranque que se ejecute.
Termine los EMR clústeres existentes y lance nuevos clústeres con el script de acción bootstrap. AWS recomienda probar los scripts de arranque en el entorno de prueba y validar las aplicaciones antes de aplicarlos al entorno de producción. Si no está utilizando la última revisión para una versión EMR secundaria (por ejemplo, la 6.3.0), debe usar la última revisión (por ejemplo, la 6.3.1) y, a continuación, aplicar la solución descrita anteriormente.

CVE-2021-44228 y CVE -2021-45046 - Scripts de Bootstrap para lanzamientos de Amazon EMR
Número de EMR versión de Amazon	Ubicación del script	Fecha de publicación del script
6.5.0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.5.0-v2.sh`	24 de marzo de 2022
6.4.0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.4.0-v2.sh`	24 de marzo de 2022
6.3.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.3.1-v2.sh`	24 de marzo de 2022
6.2.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.2.1-v2.sh`	24 de marzo de 2022
6.1.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.1.1-v2.sh`	14 de diciembre de 2021
6.0.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.0.1-v2.sh`	14 de diciembre de 2021
5,34,0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.34.0-v2.sh`	12 de diciembre de 2021
5.33.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.33.1-v2.sh`	12 de diciembre de 2021
5.32,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.32.1-v2.sh`	13 de diciembre de 2021
5,31.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.31.1-v2.sh`	13 de diciembre de 2021
5.30,2	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.30.2-v2.sh`	14 de diciembre de 2021
5.29,0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.29.0-v2.sh`	14 de diciembre de 2021
5.28,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.28.1-v2.sh`	15 de diciembre de 2021
5.27.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.27.1-v2.sh`	15 de diciembre de 2021
5.26.0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.26.0-v2.sh`	15 de diciembre de 2021
5.25,0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.25.0-v2.sh`	15 de diciembre de 2021
5.24.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.24.1-v2.sh`	15 de diciembre de 2021
5,23.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.23.1-v2.sh`	15 de diciembre de 2021
5.22.0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.22.0-v2.sh`	15 de diciembre de 2021
5.21.2	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.21.2-v2.sh`	15 de diciembre de 2021
5.20.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.20.1-v2.sh`	15 de diciembre de 2021
5.19,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.19.1-v2.sh`	15 de diciembre de 2021
5.18,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.18.1-v2.sh`	15 de diciembre de 2021
5.17.2	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.17.2-v2.sh`	15 de diciembre de 2021
5.16.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.16.1-v2.sh`	15 de diciembre de 2021
5.15.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.15.1-v2.sh`	15 de diciembre de 2021
5.14.2	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.14.2-v2.sh`	15 de diciembre de 2021
5.13.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.13.1-v2.sh`	15 de diciembre de 2021
5.12.3	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.12.3-v2.sh`	15 de diciembre de 2021
5.11.4	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.11.4-v2.sh`	15 de diciembre de 2021
5.10.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.10.1-v2.sh`	15 de diciembre de 2021
5.9.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.9.1-v2.sh`	15 de diciembre de 2021
5.8.3	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.8.3-v2.sh`	15 de diciembre de 2021
5.7.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.7.1-v2.sh`	15 de diciembre de 2021

EMRversión de lanzamiento	Revisión más reciente desde diciembre de 2021
6.3.0	6.3.1
6.2.0	6.2.1
6.1.0	6.1.1
6.0.0	6.0.1
5.33.0	5.33.1
5,32,0	5,32.1
5,31,0	5,31.1
5.30.0 o 5.30.1	5.30,2
5.28,0	5.28,1
5.27.0	5.27.1
5.24.0	5.24.1
5,23,0	5,23.1
5.21.0 o 5.21.1	5.21.2
5.20.0	5.20.1
5.19,0	5.19,1
5.18,0	5.18,1
5.17.0 o 5.17.1	5.17.2
5.16.0	5.16.1
5.15.0	5.15.1
5.14.0 o 5.14.1	5.14.2
5.13.0	5.13.1
5.12.0, 5.12.1, 5.12.2	5.12.3
5.11.0, 5.11.1, 5.11.2, 5.11.3	5.11.4
5.9.0	5.9.1
5.8.0, 5.8.1, 5.8.2	5.8.3
5.7.0	5.7.1

Preguntas frecuentes

¿Las EMR versiones anteriores a EMR 5 años se ven afectadas por la versión CVE -2021-44228?

No. EMRlas versiones anteriores a la EMR versión 5 utilizan versiones de Log4j anteriores a la 2.0.
¿Esta solución aborda CVE el problema -2021-45046?

Sí, esta solución también se dirige a -2021-45046. CVE
¿La solución gestiona las aplicaciones personalizadas que instalo en mis clústeres? EMR

El script de arranque solo actualiza JAR los archivos instalados porEMR. Si instala y ejecuta aplicaciones y JAR archivos personalizados en sus EMR clústeres mediante acciones de arranque, como pasos enviados a sus clústeres, mediante Amazon Linux personalizado o mediante cualquier otro mecanismoAMI, póngase en contacto con el proveedor de la aplicación para determinar si sus aplicaciones personalizadas se ven afectadas por el CVE -2021- 44228 y determinar la solución adecuada.
¿Cómo debo gestionar las imágenes de docker personalizadas con on? EMR EKS

Si añade aplicaciones personalizadas a Amazon EMR al EKS utilizar imágenes de docker personalizadas o envía trabajos a Amazon EMR en archivos de solicitud EKSwith personalizados, póngase en contacto con el proveedor de la aplicación para determinar si sus aplicaciones personalizadas se ven afectadas por la CVE -2021-44228 y determinar la solución adecuada.
¿Cómo funciona el script bootstrap para mitigar el problema descrito en -2021-44228 y -2021-45046? CVE CVE

El script de arranque actualiza las instrucciones de EMR inicio añadiendo un nuevo conjunto de instrucciones. Estas nuevas instrucciones eliminan los archivos de JndiLookup clase utilizados en Log4j por todos los marcos de código abierto instalados por. EMR Esto sigue la recomendación publicada por Apache para abordar los problemas de Log4j.
¿Hay alguna actualización EMR que utilice las versiones 2.17.1 o superior de Log4j?

EMR5 versiones anteriores a la versión 5.34 y EMR 6 versiones anteriores a la versión 6.5 utilizan versiones anteriores de marcos de código abierto que son incompatibles con las versiones más recientes de Log4j. Si continúa utilizando estas versiones, le recomendamos que aplique la acción de arranque para mitigar los problemas descritos en la. CVEs Tras la versión 5.34 de la versión EMR 5 y la versión 6.5 de la versión EMR 6, las aplicaciones que utilicen Log4j 1.x y Log4j 2.x se actualizarán para utilizar Log4j 1.2.17 (o superior) y Log4j 2.17.1 (o superior), respectivamente, y no será necesario utilizar las acciones de arranque indicadas anteriormente para mitigar los problemas. CVE
¿Se ven afectadas las versiones por CVE -2021-45105? EMR

El CVE -2021-45105 no afectará a EMR las aplicaciones instaladas por Amazon EMR con las configuraciones predeterminadas. Entre las aplicaciones instaladas por AmazonEMR, solo Apache Hive usa Apache Log4j con búsquedas de contexto, y no usa un diseño de patrones no predeterminado de manera que permita procesar datos de entrada inapropiados.

¿Amazon se EMR ve afectada por alguna de las siguientes CVE divulgaciones?

La siguiente tabla contiene una lista de las CVEs que están relacionadas con Log4j y indica si cada una de ellas afecta a CVE Amazon. EMR La información de esta tabla solo se aplica cuando Amazon instala las aplicaciones EMR con las configuraciones predeterminadas.

CVE	Impactos EMR	Notas
CVE-2022-23302	No	Amazon EMR no configura Log4j JMSSink
CVE-2022-23305	No	Amazon EMR no configura Log4j JDBCAppender
CVE-2022-23307	No	Amazon EMR no configura Log4j Chainsaw
CVE-2020-9493	No	Amazon EMR no configura Log4j Chainsaw
CVE-2021-44832	No	Amazon EMR no configura Log4j JDBCAppender con una JNDI cadena de conexión
CVE-2021-4104	No	Amazon EMR no usa Log4j JMSAppender
CVE-2020-9488	No	Las aplicaciones que instala Amazon EMR no utilizan Log4j SMTPAppender
CVE-2019-17571	No	Amazon EMR bloquea el acceso público a los clústeres y no los lanza SocketServer
CVE-2019-17531	No	Te recomendamos que actualices a la última EMR versión de Amazon. Amazon EMR 5.33.0 y versiones posteriores usan jackson-databind 2.6.7.4 o posterior, y 6.1.0 y versiones posteriores usan jackson-databind 2.10.0 o posterior. EMR Estas versiones de jackson-databind no se ven afectadas por la. CVE

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Novedades

Archivado