Approche d'atténuation CVE -2021-44228 - Amazon EMR
Solution d'action Amazon EMR Bootstrap pour Log4j CVE -2021-44228 et -2021-45046 CVEQuestions fréquentes (FAQ)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Approche d'atténuation CVE -2021-44228

Note

Pour les EMR versions 6.9.0 et ultérieures d'Amazon, tous les composants installés par Amazon EMR qui utilisent les bibliothèques Log4j utilisent Log4j version 2.17.1 ou ultérieure.

Amazon EMR s'exécute sur EC2

Le problème abordé dans CVE-2021-44228 concerne les versions principales d'Apache Log4j comprises entre 2.0.0 et 2.14.1 lors du traitement d'entrées provenant de sources non fiables. EMRLes clusters Amazon lancés avec les versions EMR 5.x jusqu'à 5.34.0 et EMR 6.x jusqu'à Amazon EMR 6.5.0 incluent des frameworks open source tels qu'Apache Hive, Flink, Presto et Trino, qui utilisent ces versions d'Apache Log4j. HUDI Cependant, de nombreux clients utilisent les frameworks open source installés sur leurs EMR clusters Amazon pour traiter et enregistrer les entrées provenant de sources non fiables.

Nous vous recommandons d'appliquer la « Amazon EMR Bootstrap Action Solution for Log4j CVE -2021-44228 » comme décrit dans la section suivante. Cette solution répond également à CVE -2021-45046.

Note

Les scripts d'action bootstrap pour Amazon EMR ont été mis à jour le 7 septembre 2022 pour inclure des corrections de bogues progressives et des améliorations pour Oozie. Si vous utilisez Oozie, vous devez appliquer la solution d'action Amazon EMR bootstrap mise à jour décrite dans la section suivante.

Amazon EMR sur EKS

Si vous utilisez Amazon EKS avec EMR la configuration par défaut, vous n'êtes pas concerné par le problème décrit dans CVE -2021-44228 et vous n'êtes pas obligé d'appliquer la solution décrite dans la section. Solution d'action Amazon EMR Bootstrap pour Log4j CVE -2021-44228 et -2021-45046 CVE Pour Amazon EMR onEKS, le EMR runtime Amazon pour Spark utilise Apache Log4j version 1.2.17. Lorsque vous utilisez Amazon EMR sur, EKS vous ne devez pas modifier le paramètre par défaut log4j.appender du composant surlog.

Solution d'action Amazon EMR Bootstrap pour Log4j CVE -2021-44228 et -2021-45046 CVE

Cette solution fournit une action Amazon EMR bootstrap qui doit être appliquée à vos EMR clusters Amazon. Pour chaque EMR version d'Amazon, vous trouverez ci-dessous un lien vers un script d'action bootstrap. Pour appliquer cette action d'amorçage, vous devez suivre les étapes suivantes :

  1. Copiez le script correspondant à votre EMR version d'Amazon dans un compartiment S3 local de votre Compte AWS. Assurez-vous que vous utilisez un script bootstrap spécifique à votre EMR version d'Amazon.

  2. Configurez une action d'amorçage pour que vos EMR clusters exécutent le script copié dans votre compartiment S3 conformément aux instructions décrites dans EMRla documentation. Si d'autres actions d'amorçage sont configurées pour vos EMR clusters, assurez-vous que ce script est configuré comme le premier script d'action de démarrage à exécuter.

  3. Mettez fin aux EMR clusters existants et lancez de nouveaux clusters à l'aide du script d'action bootstrap. AWS recommande de tester les scripts bootstrap dans votre environnement de test et de valider vos applications avant de les appliquer à votre environnement de production. Si vous n'utilisez pas la dernière version pour une version EMR mineure (par exemple, 6.3.0), vous devez utiliser la dernière révision (par exemple, 6.3.1), puis appliquer la solution décrite ci-dessus.

CVE-2021-44228 & CVE -2021-45046 - Scripts Bootstrap pour les versions Amazon EMR
Numéro EMR de version Amazon Emplacement du script Date de sortie du script
6.5.0 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.5.0-v2.sh
 24 mars 2022
6.4.0 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.4.0-v2.sh
 24 mars 2022
6.3.1 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.3.1-v2.sh
 24 mars 2022
6.2.1 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.2.1-v2.sh
 24 mars 2022
6.1.1 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.1.1-v2.sh
 14 décembre 2021
6.0.1 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.0.1-v2.sh
 14 décembre 2021
5,34,0 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.34.0-v2.sh
 12 décembre 2021
5,33.1 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.33.1-v2.sh
 12 décembre 2021
5,32.1 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.32.1-v2.sh
 13 décembre 2021
5,31.1 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.31.1-v2.sh
 13 décembre 2021
5,30,2 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.30.2-v2.sh
 14 décembre 2021
5,29,0 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.29.0-v2.sh
 14 décembre 2021
5,28.1 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.28.1-v2.sh
 15 décembre 2021
5,27.1 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.27.1-v2.sh
 15 décembre 2021
5,26,0 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.26.0-v2.sh
 15 décembre 2021
5,25,0 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.25.0-v2.sh
 15 décembre 2021
5.24.1 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.24.1-v2.sh
 15 décembre 2021
5.23.1 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.23.1-v2.sh
 15 décembre 2021
5,22,0 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.22.0-v2.sh
 15 décembre 2021
5.21.2 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.21.2-v2.sh
 15 décembre 2021
5.20.1 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.20.1-v2.sh
 15 décembre 2021
5.19.1 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.19.1-v2.sh
 15 décembre 2021
5.18.1 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.18.1-v2.sh
 15 décembre 2021
5,17.2 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.17.2-v2.sh
 15 décembre 2021
5.16.1 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.16.1-v2.sh
 15 décembre 2021
5.15.1 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.15.1-v2.sh
 15 décembre 2021
5.14.2 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.14.2-v2.sh
 15 décembre 2021
5.13.1 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.13.1-v2.sh
 15 décembre 2021
5.12.3 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.12.3-v2.sh
 15 décembre 2021
5.11.4 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.11.4-v2.sh
 15 décembre 2021
5.10.1 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.10.1-v2.sh
 15 décembre 2021
5.9.1 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.9.1-v2.sh
 15 décembre 2021
5.8.3 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.8.3-v2.sh
 15 décembre 2021
5.7.1 
s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.7.1-v2.sh
 15 décembre 2021
EMRversion de sortie Dernière révision en date de décembre 2021
6.3.0 6.3.1
6.2.0 6.2.1
6.1.0 6.1.1
6.0.0 6.0.1
5,33,0 5,33.1
5,32,0 5,32.1
5,31,0 5,31.1
5.30.0 ou 5.30.1 5,30,2
5,28,0 5,28.1
5,27,0 5,27.1
5,24,0 5.24.1
5.23.0 5.23.1
5.21.0 ou 5.21.1 5.21.2
5,20,0 5.20.1
5,19,0 5.19.1
5,18,0 5.18.1
5.17.0 ou 5.17.1 5,17.2
5.16.0 5.16.1
5.15.0 5.15.1
5.14.0 ou 5.14.1 5.14.2
5.13.0 5.13.1
5.12.0, 5.12.1, 5.12.2 5.12.3
5.11.0, 5.11.1, 5.11.2, 5.11.3 5.11.4
5.9.0 5.9.1
5,8.0, 5,8.1, 5,8.2 5.8.3
5.7.0 5.7.1

Questions fréquentes (FAQ)

  • Les EMR versions antérieures à EMR 5 sont-elles concernées par CVE -2021-44228 ?

    Non. EMRles versions antérieures à la EMR version 5 utilisent des versions de Log4j antérieures à 2.0.

  • Cette solution répond-elle à CVE -2021-45046 ?

    Oui, cette solution répond également à CVE-2021-45046.

  • La solution gère-t-elle les applications personnalisées que j'installe sur mes EMR clusters ?

    Le script bootstrap met uniquement à jour JAR les fichiers installés parEMR. Si vous installez et exécutez des applications et des JAR fichiers personnalisés sur vos EMR clusters par le biais d'actions de démarrage, d'étapes soumises à vos clusters, en utilisant Amazon Linux AMI personnalisé ou par le biais de tout autre mécanisme, contactez votre fournisseur d'applications pour déterminer si vos applications personnalisées sont affectées par le CVE -2021- 44228 et pour déterminer une solution appropriée.

  • Comment gérer les images docker personnalisées avec EMR on ? EKS

    Si vous ajoutez des applications personnalisées à Amazon EMR EKS en utilisant des images docker personnalisées ou si vous soumettez des offres d'emploi à Amazon EMR sur des fichiers de candidature EKSwith personnalisés, contactez le fournisseur de l'application pour déterminer si vos applications personnalisées sont concernées par CVE -2021-44228 et pour déterminer une solution appropriée.

  • Comment fonctionne le script bootstrap pour atténuer le problème décrit dans CVE -2021-44228 et -2021-45046 ? CVE

    Le script bootstrap met à jour les instructions de EMR démarrage en ajoutant un nouvel ensemble d'instructions. Ces nouvelles instructions suppriment les fichiers JndiLookup de classe utilisés via Log4j par tous les frameworks open source installés par. EMR Cela fait suite à la recommandation publiée par Apache pour résoudre les problèmes liés à Log4j.

  • Existe-t-il une mise à jour EMR qui utilise les versions 2.17.1 ou supérieures de Log4j ?

    EMR5 versions jusqu'à la version 5.34 et EMR 6 versions jusqu'à la version 6.5 utilisent des versions plus anciennes de frameworks open source incompatibles avec les dernières versions de Log4j. Si vous continuez à utiliser ces versions, nous vous recommandons d'appliquer l'action bootstrap pour atténuer les problèmes décrits dans leCVEs. Après les versions EMR 5 5.34 et EMR 6 version 6.5, les applications qui utilisent Log4j 1.x et Log4j 2.x seront mises à niveau pour utiliser Log4j 1.2.17 (ou version ultérieure) et Log4j 2.17.1 (ou version ultérieure) respectivement, et ne nécessiteront pas d'utiliser les actions d'amorçage fournies ci-dessus pour atténuer les problèmes. CVE

  • Les EMR versions sont-elles affectées par CVE -2021-45105 ?

    Les applications installées par Amazon EMR avec EMR les configurations par défaut ne sont pas affectées par CVE -2021-45105. Parmi les applications installées par AmazonEMR, seul Apache Hive utilise Apache Log4j avec des recherches contextuelles, et il n'utilise pas de disposition de modèle autre que celle par défaut de manière à permettre le traitement de données d'entrée inappropriées.

  • Amazon est-il EMR concerné par l'une des CVE divulgations suivantes ?

    Le tableau suivant contient une liste de ceux CVEs qui sont liés à Log4j et indique si chacun d'entre eux a un impact CVE sur Amazon. EMR Les informations de ce tableau ne s'appliquent que lorsque les applications sont installées par Amazon EMR à l'aide des configurations par défaut.

    CVE Répercussions EMR Remarques
    CVE-2_23302 Non Amazon EMR ne configure pas Log4j JMSSink
    CVE-2_23305 Non Amazon EMR ne configure pas Log4j JDBCAppender
    CVE-2_23307 Non Amazon EMR ne configure pas Log4j Chainsaw
    CVE-2020-9493 Non Amazon EMR ne configure pas Log4j Chainsaw
    CVE-2021-44832 Non Amazon EMR ne configure pas Log4j JDBCAppender avec une JNDI chaîne de connexion
    CVE-2021-4104 Non Amazon EMR n'utilise pas Log4j JMSAppender
    CVE-2020-9488 Non Les applications installées par Amazon n'utilisent EMR pas Log4j SMTPAppender
    CVE-2019-17571 Non Amazon EMR bloque l'accès public aux clusters et ne les lance pas SocketServer
    CVE-2019-17531 Non Nous vous recommandons de passer à la dernière EMR version d'Amazon. Amazon EMR 5.33.0 et versions ultérieures utilisent jackson-databind 2.6.7.4 ou version ultérieure, et jackson-databind 2.10.0 ou version ultérieure. EMR Ces versions de jackson-databind ne sont pas affectées par le. CVE