Soluzione di azione EMR bootstrap di Amazon per Log4j -2021-44228 e -2021-45046 CVE CVE Domande frequenti

Approccio per CVE mitigare -2021-44228

Nota

Per Amazon EMR versione 6.9.0 e successive, tutti i componenti installati da Amazon EMR che utilizzano le librerie Log4j utilizzano Log4j versione 2.17.1 o successiva.

Amazon EMR in esecuzione su EC2

Il problema discusso in CVE-2021-44228 riguarda le versioni principali di Apache Log4j comprese tra 2.0.0 e 2.14.1 durante l'elaborazione di input da fonti non attendibili. EMRI cluster Amazon lanciati con le versioni di Amazon EMR 5.x fino alla 5.34.0 e le EMR versioni 6.x fino ad Amazon EMR 6.5.0 includono framework open source come Apache Hive, Flink, Presto e Trino, che utilizzano queste versioni di Apache HUDI Log4j. Tuttavia, molti clienti utilizzano i framework open source installati sui propri EMR cluster Amazon per elaborare e registrare input da fonti non attendibili.

Ti consigliamo di applicare la «Amazon EMR Bootstrap Action Solution for Log4j CVE -2021-44228" come descritto nella sezione seguente. Questa soluzione riguarda anche -2021-45046. CVE

Nota

Gli script di azione bootstrap per Amazon EMR sono stati aggiornati il 7 settembre 2022 per includere correzioni di bug incrementali e miglioramenti per Oozie. Se usi Oozie, devi applicare la soluzione di azione Amazon EMR bootstrap aggiornata descritta nella sezione seguente.

Amazon EMR su EKS

Se utilizzi Amazon EMR on EKS con la configurazione predefinita, non sei interessato dal problema descritto in CVE -2021-44228 e non devi applicare la soluzione descritta nella sezione. Soluzione di azione EMR bootstrap di Amazon per Log4j -2021-44228 e -2021-45046 CVE CVE Per Amazon EMR onEKS, il EMR runtime Amazon per Spark utilizza Apache Log4j versione 1.2.17. Quando usi Amazon EMR su, non EKS devi modificare l'impostazione predefinita per il log4j.appender componente inlog.

Soluzione di azione EMR bootstrap di Amazon per Log4j -2021-44228 e -2021-45046 CVE CVE

Questa soluzione fornisce un'azione di EMR avvio di Amazon che deve essere applicata ai EMR cluster Amazon. Per ogni EMR versione di Amazon, di seguito troverai un link a uno script di azione bootstrap. Per applicare questa operazione di bootstrap è necessario completare i seguenti passaggi:

Copia lo script che corrisponde alla tua EMR versione di Amazon in un bucket S3 locale del tuo. Account AWS Assicurati di utilizzare uno script di bootstrap specifico per la tua EMR versione di Amazon.
Imposta un'azione di bootstrap per i tuoi EMR cluster per eseguire lo script copiato nel tuo bucket S3 secondo le istruzioni descritte nella documentazione. EMR Se hai altre azioni di bootstrap configurate per i tuoi EMR cluster, assicurati che questo script sia impostato come primo script di azione bootstrap da eseguire.
Termina i EMR cluster esistenti e avvia nuovi cluster con lo script di azione bootstrap. AWS consiglia di testare gli script di bootstrap nell'ambiente di test e di convalidare le applicazioni prima di applicarle all'ambiente di produzione. Se non si utilizza la revisione più recente per una versione EMR secondaria (ad esempio, 6.3.0), è necessario utilizzare la revisione più recente (ad esempio, 6.3.1) e quindi applicare la soluzione sopra descritta.

CVE-2021-44228 e CVE -2021-45046 - Script Bootstrap per le versioni di Amazon EMR
Numero di EMR versione di Amazon	Percorso script	Data di rilascio dello script
6.5.0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.5.0-v2.sh`	24 marzo 2022
64,0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.4.0-v2.sh`	24 marzo 2022
6.3.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.3.1-v2.sh`	24 marzo 2022
6.2.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.2.1-v2.sh`	24 marzo 2022
6.1.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.1.1-v2.sh`	14 dicembre 2021
6.0.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.0.1-v2.sh`	14 dicembre 2021
5,34,0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.34.0-v2.sh`	12 dicembre 2021
5,33,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.33.1-v2.sh`	12 dicembre 2021
5,32,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.32.1-v2.sh`	13 dicembre 2021
5,31,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.31.1-v2.sh`	13 dicembre 2021
5,30,2	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.30.2-v2.sh`	14 dicembre 2021
5,290	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.29.0-v2.sh`	14 dicembre 2021
5,281	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.28.1-v2.sh`	15 dicembre 2021
5,27,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.27.1-v2.sh`	15 dicembre 2021
5,26,0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.26.0-v2.sh`	15 dicembre 2021
5,25,0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.25.0-v2.sh`	15 dicembre 2021
5,24,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.24.1-v2.sh`	15 dicembre 2021
5,23,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.23.1-v2.sh`	15 dicembre 2021
522,0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.22.0-v2.sh`	15 dicembre 2021
5,21,2	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.21.2-v2.sh`	15 dicembre 2021
5,20,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.20.1-v2.sh`	15 dicembre 2021
519,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.19.1-v2.sh`	15 dicembre 2021
518,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.18.1-v2.sh`	15 dicembre 2021
5,17,2	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.17.2-v2.sh`	15 dicembre 2021
5,16,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.16.1-v2.sh`	15 dicembre 2021
515,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.15.1-v2.sh`	15 dicembre 2021
5,14,2	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.14.2-v2.sh`	15 dicembre 2021
5,13,1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.13.1-v2.sh`	15 dicembre 2021
5,12,3	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.12.3-v2.sh`	15 dicembre 2021
5.11.4	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.11.4-v2.sh`	15 dicembre 2021
5.10.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.10.1-v2.sh`	15 dicembre 2021
5.9.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.9.1-v2.sh`	15 dicembre 2021
5.8.3	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.8.3-v2.sh`	15 dicembre 2021
5.7.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.7.1-v2.sh`	15 dicembre 2021

EMRversione di rilascio	Ultima revisione: dicembre 2021
6.3.0	6.3.1
6.2.0	6.2.1
6.1.0	6.1.1
6.0.0	6.0.1
5,33,0	5,33,1
5,32,0	5,32,1
5,31,0	5,31,1
5.30.0 o 5.30.1	5,30,2
5,28,0	5,28,1
5,27,0	5,27,1
5,24,0	5,24,1
5,23,0	5,23,1
5.21.0 o 5.21.1	5,21,2
5,20,0	5,20,1
5,19,0	5,19,1
5,18,0	518,1
5.17.0 o 5.17.1	517,2
5.16.0	5,16,1
5.15.0	515,1
5.14.0 o 5.14.1	5,14,2
5.13.0	513,1
5.12.0, 5.12.1, 5.12.2	5.12,3
5.11.0, 5.11.1, 5.11.2, 5.11.3	5.11,4
5.9.0	5.9.1
5.8.0, 5.8.1, 5.8.2	5.8.3
5.7.0	5.7.1

Domande frequenti

Le EMR versioni precedenti a EMR 5 anni sono influenzate dalla modifica -2021-44228? CVE

No. EMRle versioni precedenti alla EMR release 5 utilizzano versioni di Log4j precedenti alla 2.0.
Questa soluzione si CVE rivolge a -2021-45046?

Sì, questa soluzione si rivolge anche a -2021-45046. CVE
La soluzione gestisce le applicazioni personalizzate che installo sui miei cluster? EMR

Lo script bootstrap aggiorna solo JAR i file installati da. EMR Se installi ed esegui applicazioni e JAR file personalizzati sui tuoi EMR cluster tramite azioni di bootstrap, come passaggi inviati ai cluster, utilizzando Amazon Linux personalizzato o tramite qualsiasi altro meccanismoAMI, collabora con il fornitore dell'applicazione per determinare se le tue applicazioni personalizzate sono influenzate dal CVE -2021- 44228 e determinare una soluzione appropriata.
Come devo gestire le immagini docker personalizzate con EMR on? EKS

Se aggiungi applicazioni personalizzate ad Amazon EMR EKS utilizzando immagini docker personalizzate o invii lavori ad Amazon EMR su file di applicazioni EKSwith personalizzati, collabora con il fornitore dell'applicazione per determinare se le tue applicazioni personalizzate sono interessate dal CVE -2021-44228 e determinare una soluzione appropriata.
Come funziona lo script bootstrap per mitigare il problema descritto in -2021-44228 e -2021-45046? CVE CVE

Lo script bootstrap aggiorna le istruzioni di avvio aggiungendo un nuovo set di istruzioni. EMR Queste nuove istruzioni eliminano i file JndiLookup di classe utilizzati tramite Log4j da tutti i framework open source installati da. EMR Questo segue il suggerimento pubblicato da Apache per risolvere i problemi di Log4j.
Esiste un aggiornamento EMR che utilizza le versioni di Log4j 2.17.1 o successive?

EMR5 versioni fino alla versione 5.34 e EMR 6 versioni fino alla versione 6.5 utilizzano versioni precedenti di framework open source incompatibili con le ultime versioni di Log4j. Se continui a utilizzare queste versioni, ti consigliamo di applicare l'azione bootstrap per mitigare i problemi discussi in. CVEs Dopo la versione EMR 5 5.34 e la versione EMR 6 6.5, le applicazioni che utilizzano Log4j 1.x e Log4j 2.x verranno aggiornate rispettivamente per utilizzare Log4j 1.2.17 (o versione successiva) e Log4j 2.17.1 (o versione successiva) e non richiederanno l'utilizzo delle azioni di bootstrap fornite sopra per mitigare i CVE problemi.
CVEI rilasci sono influenzati da -2021-45105? EMR

Le applicazioni installate da Amazon EMR con le configurazioni predefinite EMR di Amazon non sono influenzate da CVE -2021-45105. Tra le applicazioni installate da AmazonEMR, solo Apache Hive utilizza Apache Log4j con ricerche contestuali e non utilizza un layout di pattern non predefinito in modo da consentire l'elaborazione di dati di input inappropriati.

Amazon è EMR interessata da una delle seguenti CVE divulgazioni?

La tabella seguente contiene un elenco di CVEs quelli correlati a Log4j e indica se ciascuno ha un impatto CVE su Amazon. EMR Le informazioni in questa tabella si applicano solo quando le applicazioni vengono installate da Amazon EMR utilizzando le configurazioni predefinite.

CVE	Impatti EMR	Note
CVE-2022-23302	No	Amazon EMR non configura Log4j JMSSink
CVE-2022-23305	No	Amazon EMR non configura Log4j JDBCAppender
CVE-2022-23307	No	Amazon EMR non configura Log4j Chainsaw
CVE-2020-9493	No	Amazon EMR non configura Log4j Chainsaw
CVE-2021-44832	No	Amazon EMR non configura Log4j JDBCAppender con una JNDI stringa di connessione
CVE-2021-4104	No	Amazon EMR non utilizza Log4j JMSAppender
CVE-2020-9488	No	Le applicazioni installate da Amazon EMR non utilizzano Log4j SMTPAppender
CVE-2019-17571	No	Amazon EMR blocca l'accesso pubblico ai cluster e non si avvia SocketServer
CVE-2019-17531	No	Ti consigliamo di eseguire l'aggiornamento all'ultima EMR versione di Amazon. Amazon EMR 5.33.0 e versioni successive utilizzano jackson-databind 2.6.7.4 o versioni successive e 6.1.0 e versioni successive utilizzano jackson-databind 2.10.0 o versioni successive. EMR Queste versioni di jackson-databind non sono influenzate da. CVE

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Novità

Archive (Archivia)