Solusi aksi EMR bootstrap Amazon untuk Log4j CVE -2021-44228 & -2021-45046 CVE Pertanyaan umum

Pendekatan untuk mengurangi -2021-44228 CVE

catatan

Untuk EMR rilis Amazon 6.9.0 dan yang lebih baru, semua komponen yang diinstal oleh Amazon EMR yang menggunakan pustaka Log4j menggunakan Log4j versi 2.17.1 atau yang lebih baru.

Amazon EMR berjalan di EC2

Masalah yang dibahas di CVE-2021-44228 relevan dengan versi inti Apache Log4j antara 2.0.0 dan 2.14.1 saat memproses input dari sumber yang tidak tepercaya. EMRCluster Amazon yang diluncurkan dengan rilis Amazon EMR 5.x hingga 5.34.0 dan EMR 6.x rilis hingga Amazon EMR 6.5.0 termasuk kerangka kerja sumber terbuka seperti Apache Hive, Flink,, Presto, dan Trino, yang menggunakan versi Apache Log4j ini. HUDI Namun, banyak pelanggan menggunakan kerangka kerja sumber terbuka yang diinstal pada EMR kluster Amazon mereka untuk memproses dan mencatat input dari sumber yang tidak tepercaya.

Kami menyarankan Anda menerapkan “Amazon EMR Bootstrap Action Solution for Log4j CVE -2021-44228" seperti yang dijelaskan di bagian berikut. Solusi ini juga membahas CVE -2021-45046.

catatan

Skrip tindakan bootstrap untuk Amazon EMR diperbarui pada 7 September 2022 untuk menyertakan perbaikan bug tambahan dan peningkatan untuk Oozie. Jika Anda menggunakan Oozie, Anda harus menerapkan solusi tindakan EMR bootstrap Amazon yang diperbarui yang dijelaskan di bagian berikut.

Amazon EMR di EKS

Jika Anda menggunakan EMRAmazon EKS dengan konfigurasi default, Anda tidak terpengaruh oleh masalah yang dijelaskan di CVE -2021-44228, dan Anda tidak perlu menerapkan solusi yang dijelaskan di bagian. Solusi aksi EMR bootstrap Amazon untuk Log4j CVE -2021-44228 & -2021-45046 CVE Untuk Amazon EMREKS, EMR runtime Amazon untuk Spark menggunakan Apache Log4j versi 1.2.17. Saat menggunakan Amazon EMR di EKS Anda tidak harus mengubah pengaturan default untuk log4j.appender komponen menjadilog.

Solusi aksi EMR bootstrap Amazon untuk Log4j CVE -2021-44228 & -2021-45046 CVE

Solusi ini menyediakan tindakan EMR bootstrap Amazon yang harus diterapkan pada EMR cluster Amazon Anda. Untuk setiap EMR rilis Amazon, Anda akan menemukan tautan ke skrip tindakan bootstrap di bawah ini. Untuk menerapkan tindakan bootstrap ini, Anda harus menyelesaikan langkah-langkah berikut:

Salin skrip yang sesuai dengan EMR rilis Amazon Anda ke bucket S3 lokal di file Anda Akun AWS. Pastikan bahwa Anda menggunakan skrip bootstrap yang khusus untuk EMR rilis Amazon Anda.
Siapkan tindakan bootstrap untuk EMR cluster Anda untuk menjalankan skrip yang disalin ke bucket S3 Anda sesuai instruksi yang dijelaskan dalam dokumentasi. EMR Jika Anda memiliki tindakan bootstrap lain yang dikonfigurasi untuk EMR cluster Anda, pastikan bahwa skrip ini diatur sebagai skrip tindakan bootstrap pertama yang dijalankan.
Hentikan EMR cluster yang ada, dan luncurkan cluster baru dengan skrip aksi bootstrap. AWS merekomendasikan agar Anda menguji skrip bootstrap di lingkungan pengujian Anda dan memvalidasi aplikasi Anda sebelum menerapkannya ke lingkungan produksi Anda. Jika Anda tidak menggunakan revisi terbaru untuk rilis EMR minor (misalnya, 6.3.0), Anda harus menggunakan revisi terbaru (misalnya, 6.3.1), dan kemudian menerapkan solusi yang dibahas di atas.

CVE-2021-44228 & CVE -2021-45046 - Skrip Bootstrap untuk Rilis Amazon EMR
Nomor EMR rilis Amazon	Lokasi skrip	Tanggal rilis skrip
6.5.0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.5.0-v2.sh`	24 Maret 2022
6.4.0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.4.0-v2.sh`	24 Maret 2022
6.3.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.3.1-v2.sh`	24 Maret 2022
6.2.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.2.1-v2.sh`	24 Maret 2022
6.1.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.1.1-v2.sh`	Desember 14, 2021
6.0.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.0.1-v2.sh`	Desember 14, 2021
5.34.0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.34.0-v2.sh`	Desember 12, 2021
5.33.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.33.1-v2.sh`	Desember 12, 2021
5.32.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.32.1-v2.sh`	13 Desember 2021
5.31.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.31.1-v2.sh`	13 Desember 2021
5.30.2	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.30.2-v2.sh`	Desember 14, 2021
5.29.0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.29.0-v2.sh`	Desember 14, 2021
5.28.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.28.1-v2.sh`	Desember 15, 2021
5.27.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.27.1-v2.sh`	Desember 15, 2021
5.26.0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.26.0-v2.sh`	Desember 15, 2021
5.25.0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.25.0-v2.sh`	Desember 15, 2021
5.24.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.24.1-v2.sh`	Desember 15, 2021
5.23.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.23.1-v2.sh`	Desember 15, 2021
5.22.0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.22.0-v2.sh`	Desember 15, 2021
5.21.2	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.21.2-v2.sh`	Desember 15, 2021
5.20.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.20.1-v2.sh`	Desember 15, 2021
5.19.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.19.1-v2.sh`	Desember 15, 2021
5.18.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.18.1-v2.sh`	Desember 15, 2021
5.17.2	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.17.2-v2.sh`	Desember 15, 2021
5.16.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.16.1-v2.sh`	Desember 15, 2021
5.15.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.15.1-v2.sh`	Desember 15, 2021
5.14.2	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.14.2-v2.sh`	Desember 15, 2021
5.13.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.13.1-v2.sh`	Desember 15, 2021
5.12.3	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.12.3-v2.sh`	Desember 15, 2021
5.11.4	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.11.4-v2.sh`	Desember 15, 2021
5.10.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.10.1-v2.sh`	Desember 15, 2021
5.9.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.9.1-v2.sh`	Desember 15, 2021
5.8.3	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.8.3-v2.sh`	Desember 15, 2021
5.7.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.7.1-v2.sh`	Desember 15, 2021

EMRversi rilis	Revisi terbaru per Desember 2021
6.3.0	6.3.1
6.2.0	6.2.1
6.1.0	6.1.1
6.0.0	6.0.1
5.33.0	5.33.1
5.32.0	5.32.1
5.31.0	5.31.1
5.30.0 atau 5.30.1	5.30.2
5.28.0	5.28.1
5.27.0	5.27.1
5.24.0	5.24.1
5.23.0	5.23.1
5.21.0 atau 5.21.1	5.21.2
5.20.0	5.20.1
5.19.0	5.19.1
5.18.0	5.18.1
5.17.0 atau 5.17.1	5.17.2
5.16.0	5.16.1
5.15.0	5.15.1
5.14.0 atau 5.14.1	5.14.2
5.13.0	5.13.1
5.12.0, 5.12.1, 5.12.2	5.12.3
5.11.0, 5.11.1, 5.11.2, 5.11.3	5.11.4
5.9.0	5.9.1
5.8.0, 5.8.1, 5.8.2	5.8.3
5.7.0	5.7.1

Pertanyaan umum

Apakah EMR rilis yang lebih tua dari EMR 5 dipengaruhi oleh CVE -2021-44228?

Tidak. EMRrilis sebelum EMR rilis 5 menggunakan versi Log4j yang lebih lama dari 2.0.
Apakah solusi ini membahas CVE -2021-45046?

Ya, solusi ini juga membahas CVE-2021-45046.
Apakah solusinya menangani aplikasi khusus yang saya instal di EMR cluster saya?

Skrip bootstrap hanya memperbarui JAR file yang diinstal olehEMR. Jika Anda menginstal dan menjalankan aplikasi dan JAR file khusus di EMR cluster Anda melalui tindakan bootstrap, sebagai langkah yang dikirimkan ke cluster Anda, dengan menggunakan Amazon Linux khususAMI, atau melalui mekanisme lain, silakan bekerja dengan vendor aplikasi Anda untuk menentukan apakah aplikasi kustom Anda terpengaruh oleh CVE -2021- 44228, dan tentukan solusi yang tepat.
Bagaimana saya harus menangani gambar docker yang disesuaikan dengan EMR on? EKS

Jika Anda menambahkan aplikasi khusus ke Amazon EMR saat EKS menggunakan gambar docker yang disesuaikan atau mengirimkan pekerjaan ke Amazon EMR pada file aplikasi EKSwith khusus, silakan bekerja sama dengan vendor aplikasi untuk menentukan apakah aplikasi kustom Anda terpengaruh oleh CVE -2021-44228, dan tentukan solusi yang sesuai.
Bagaimana cara kerja skrip bootstrap untuk mengurangi masalah yang dijelaskan di -2021-44228 dan CVE -2021-45046? CVE

Skrip bootstrap memperbarui instruksi EMR startup dengan menambahkan satu set instruksi baru. Instruksi baru ini menghapus file JndiLookup kelas yang digunakan melalui Log4j oleh semua kerangka kerja open source yang diinstal oleh. EMR Ini mengikuti rekomendasi yang diterbitkan oleh Apache untuk mengatasi masalah Log4j.
Apakah ada pembaruan EMR yang menggunakan Log4j versi 2.17.1 atau lebih tinggi?

EMR5 rilis hingga rilis 5.34 dan EMR 6 rilis hingga rilis 6.5 menggunakan versi kerangka kerja open source yang lebih lama yang tidak kompatibel dengan versi terbaru Log4j. Jika Anda terus menggunakan rilis ini, kami sarankan Anda menerapkan tindakan bootstrap untuk mengurangi masalah yang dibahas di. CVEs Setelah EMR 5 rilis 5.34 dan EMR 6 rilis 6.5, aplikasi yang menggunakan Log4j 1.x dan Log4j 2.x akan ditingkatkan untuk menggunakan Log4j 1.2.17 (atau lebih tinggi) dan Log4j 2.17.1 (atau lebih tinggi) masing-masing, dan tidak akan memerlukan penggunaan tindakan bootstrap yang disediakan di atas untuk mengurangi masalah. CVE
Apakah EMR rilis dipengaruhi oleh CVE -2021-45105?

Aplikasi yang diinstal oleh Amazon EMR dengan EMR konfigurasi default tidak terpengaruh oleh CVE -2021-45105. Di antara aplikasi yang diinstal oleh AmazonEMR, hanya Apache Hive yang menggunakan Apache Log4j dengan pencarian konteks, dan tidak menggunakan tata letak pola non-default dengan cara yang memungkinkan data input yang tidak pantas diproses.

Apakah Amazon EMR dipengaruhi oleh salah satu CVE pengungkapan berikut?

Tabel berikut berisi daftar yang terkait dengan Log4j dan mencatat apakah masing-masing berdampak pada CVE Amazon. CVEs EMR Informasi dalam tabel ini hanya berlaku ketika aplikasi diinstal oleh Amazon EMR menggunakan konfigurasi default.

CVE	Dampak EMR	Catatan
CVE-2022-23302	Tidak	Amazon EMR tidak mengatur Log4j JMSSink
CVE-2022-23305	Tidak	Amazon EMR tidak mengatur Log4j JDBCAppender
CVE-2022-23307	Tidak	Amazon EMR tidak mengatur Log4j Chainsaw
CVE-2020-9493	Tidak	Amazon EMR tidak mengatur Log4j Chainsaw
CVE-2021-44832	Tidak	Amazon EMR tidak mengatur Log4j JDBCAppender dengan string koneksi JNDI
CVE-2021-4104	Tidak	Amazon EMR tidak menggunakan Log4j JMSAppender
CVE-2020-9488	Tidak	Aplikasi yang diinstal oleh Amazon EMR tidak menggunakan Log4j SMTPAppender
CVE-2019-17571	Tidak	Amazon EMR memblokir akses publik ke cluster dan tidak diluncurkan SocketServer
CVE-2019-17531	Tidak	Kami menyarankan Anda meningkatkan ke versi EMR rilis Amazon terbaru. Amazon EMR 5.33.0 dan yang lebih baru menggunakan jackson-databind 2.6.7.4 atau yang lebih baru, dan 6.1.0 dan yang lebih baru menggunakan jackson-databind 2.10.0 atau yang lebih baru. EMR Versi jackson-databind ini tidak terpengaruh oleh. CVE

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Ada fitur baru?

Arsip