翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CVE-2021-44228 を軽減するためのアプローチ
注記
Amazon EMRリリース 6.9.0 以降では、Log4j ライブラリを使用する Amazon によってインストールEMRされるすべてのコンポーネントはLog4j バージョン 2.17.1 以降を使用します。
でEMR実行されている Amazon EC2
CVE-2021-44228
次のセクションで説明するように、「Amazon EMR Bootstrap Action Solution for Log4j CVE-2021-44228」を適用することをお勧めします。このソリューションでは、CVE-2021-45046 も扱います。
注記
Amazon のブートストラップアクションスクリプトEMRは、2022 年 9 月 7 日に更新され、Oozie の増分バグ修正と改善が含まれています。Oozie を使用する場合は、次のセクションで説明する更新された Amazon EMRブートストラップアクションソリューションを適用する必要があります。
EMRでの Amazon EKS
デフォルト設定で EMRで Amazon EKS を使用する場合、CVE-2021-44228 で説明されている問題による影響を受けません。また、 Log4j および CVE-2021-44228 用の Amazon EMRブートストラップアクションソリューション CVE-2021-45046セクションで説明されているソリューションを適用する必要はありません。EMR の Amazon の場合EKS、Spark の Amazon EMRランタイムは Apache Log4j バージョン 1.2.17 を使用します。EMR で Amazon を使用する場合EKS、log4j.appenderコンポーネントのデフォルト設定を に変更しないでくださいlog。
Log4j および CVE-2021-44228 用の Amazon EMRブートストラップアクションソリューション CVE-2021-45046
このソリューションは、Amazon EMRクラスターに適用する必要がある Amazon EMRブートストラップアクションを提供します。Amazon EMRリリースごとに、ブートストラップアクションスクリプトへのリンクが以下にあります。このブートストラップアクションを適用するには、次の手順を完了する必要があります。
-
Amazon EMRリリースに対応するスクリプトを のローカル S3 バケットにコピーします AWS アカウント。Amazon EMRリリースに固有のブートストラップスクリプトを使用していることを確認してください。
-
EMR ドキュメントで説明されている手順に従って、S3 バケットにコピーされたスクリプトを実行するようにEMRクラスターのブートストラップアクションを設定します。EMR クラスターに他のブートストラップアクションが設定されている場合は、このスクリプトが最初に実行するブートストラップアクションスクリプトとして設定されていることを確認してください。
-
既存のEMRクラスターを終了し、ブートストラップアクションスクリプトを使用して新しいクラスターを起動します。 AWS は、テスト環境でブートストラップスクリプトをテストし、本番環境に適用する前にアプリケーションを検証することをお勧めします。マイナーリリースの最新のリビジョン (6.3.0 など) EMR を使用していない場合は、最新のリビジョン (6.3.1 など) を使用して、上記のソリューションを適用する必要があります。
| Amazon EMRリリース番号 | スクリプトの場所 | スクリプトリリース日 |
|---|---|---|
| 6.5.0 |
|
2022 年 3 月 24 日 |
| 6.4.0 |
|
2022 年 3 月 24 日 |
| 6.3.1 |
|
2022 年 3 月 24 日 |
| 6.2.1 |
|
2022 年 3 月 24 日 |
| 6.1.1 |
|
2021 年 12 月 14 日 |
| 6.0.1 |
|
2021 年 12 月 14 日 |
| 5.34.0 |
|
2021 年 12 月 12 日 |
| 5.33.1 |
|
2021 年 12 月 12 日 |
| 5.32.1 |
|
2021 年 12 月 13 日 |
| 5.31.1 |
|
2021 年 12 月 13 日 |
| 5.30.2 |
|
2021 年 12 月 14 日 |
| 5.29.0 |
|
2021 年 12 月 14 日 |
| 5.28.1 |
|
2021 年 12 月 15日 |
| 5.27.1 |
|
2021 年 12 月 15日 |
| 5.26.0 |
|
2021 年 12 月 15日 |
| 5.25.0 |
|
2021 年 12 月 15日 |
| 5.24.1 |
|
2021 年 12 月 15日 |
| 5.23.1 |
|
2021 年 12 月 15日 |
| 5.22.0 |
|
2021 年 12 月 15日 |
| 5.21.2 |
|
2021 年 12 月 15日 |
| 5.20.1 |
|
2021 年 12 月 15日 |
| 5.19.1 |
|
2021 年 12 月 15日 |
| 5.18.1 |
|
2021 年 12 月 15日 |
| 5.17.2 |
|
2021 年 12 月 15日 |
| 5.16.1 |
|
2021 年 12 月 15日 |
| 5.15.1 |
|
2021 年 12 月 15日 |
| 5.14.2 |
|
2021 年 12 月 15日 |
| 5.13.1 |
|
2021 年 12 月 15日 |
| 5.12.3 |
|
2021 年 12 月 15日 |
| 5.11.4 |
|
2021 年 12 月 15日 |
| 5.10.1 |
|
2021 年 12 月 15日 |
| 5.9.1 |
|
2021 年 12 月 15日 |
| 5.8.3 |
|
2021 年 12 月 15日 |
| 5.7.1 |
|
2021 年 12 月 15日 |
| EMR リリースバージョン | 2021 年 12 月現在の最新リビジョン |
|---|---|
| 6.3.0 | 6.3.1 |
| 6.2.0 | 6.2.1 |
| 6.1.0 | 6.1.1 |
| 6.0.0 | 6.0.1 |
| 5.33.0 | 5.33.1 |
| 5.32.0 | 5.32.1 |
| 5.31.0 | 5.31.1 |
| 5.30.0 または 5.30.1 | 5.30.2 |
| 5.28.0 | 5.28.1 |
| 5.27.0 | 5.27.1 |
| 5.24.0 | 5.24.1 |
| 5.23.0 | 5.23.1 |
| 5.21.0 または 5.21.1 | 5.21.2 |
| 5.20.0 | 5.20.1 |
| 5.19.0 | 5.19.1 |
| 5.18.0 | 5.18.1 |
| 5.17.0 または 5.17.1 | 5.17.2 |
| 5.16.0 | 5.16.1 |
| 5.15.0 | 5.15.1 |
| 5.14.0 または 5.14.1 | 5.14.2 |
| 5.13.0 | 5.13.1 |
| 5.12.0、5.12.1、5.12.2 | 5.12.3 |
| 5.11.0, 5.11.1, 5.11.2, 5.11.3 | 5.11.4 |
| 5.9.0 | 5.9.1 |
| 5.8.0、5.8.1、5.8.2 | 5.8.3 |
| 5.7.0 | 5.7.1 |
よくある質問
-
5 EMR より前のEMRリリースは CVE-2021-44228 の影響を受けていますか?
いいえ。EMRリリース 5 より前のEMRリリースでは、2.0 より前の Log4j バージョンを使用しています。
-
このソリューションは CVE-2021-45046 に対応していますか?
はい。このソリューションは CVE-2021-45046 も対象としています。
-
クラスターにインストールしたカスタムアプリケーションはソリューションで処理されますかEMR?
ブートストラップスクリプトは、 によってインストールされたJARファイルのみを更新しますEMR。ブートストラップアクション、EMRクラスターに送信されたステップ、カスタム Amazon Linux を使用する、AMIまたはその他のメカニズムを使用して、カスタムアプリケーションとJARファイルをクラスターにインストールして実行する場合は、アプリケーションベンダーと協力して、カスタムアプリケーションが CVE-2021~44228 の影響を受けるかどうかを判断し、適切なソリューションを決定してください。
-
EMRで を使用してカスタマイズされた Docker イメージを処理するにはどうすればよいですかEKS?
カスタマイズされた Docker イメージEKSを使用して EMR で Amazon にカスタムアプリケーションを追加したり、EKSwithカスタムアプリケーションファイルEMRで Amazon にジョブを送信したりする場合は、アプリケーションベンダーと協力して、カスタムアプリケーションが CVE-2021-44228 の影響を受けているかどうかを判断し、適切なソリューションを決定してください。
-
ブートストラップスクリプトは、 および CVE-2021-44228 に記載されている問題を軽減するためにどのように機能しますかCVE-2021-45046?
ブートストラップスクリプトは、新しい一連の手順を追加してEMR起動手順を更新します。これらの新しい手順では、 によってインストールされたすべてのオープンソースフレームワークによって Log4j を介して使用される JndiLookup クラスファイルを削除しますEMR。これは、Log4j の問題に対処するための Apache の勧告
に従うものです。 -
Log4j バージョン 2.17.1 以降EMRを使用する の更新はありますか?
EMR リリース 5.34 までの 5 EMR つのリリースとリリース 6.5 までの 6 つのリリースでは、Log4j の最新バージョンと互換性のない古いバージョンのオープンソースフレームワークを使用します。これらのリリースを引き続き使用する場合は、ブートストラップアクションを適用して、「」で説明されている問題を軽減することをお勧めしますCVEs。EMR 5 リリース 5.34 および EMR 6 リリース 6.5 以降、Log4j 1.x および Log4j 2.x を使用するアプリケーションは、それぞれ Log4j 1.2.17 (以降) および Log4j 2.17.1 (以降) を使用するようにアップグレードされ、CVE問題を軽減するために上記のブートストラップアクションを使用する必要はありません。
-
EMRリリースは CVE-2021-45105 の影響を受けますか?
EMRのデフォルト設定EMRで Amazon によってインストールされるアプリケーションは、CVE-2021-45105 の影響を受けません。Amazon によってインストールされるアプリケーションではEMR、Apache Hive のみがコンテキストルックアップ
で Apache Log4j を使用し、不適切な入力データの処理を許可する方法でデフォルト以外のパターンレイアウトを使用しません。 -
Amazon は、次のいずれかのCVE開示のEMR影響を受けますか?
次の表に、Log4j に関連する のリストと、各 CVEsが Amazon CVEに影響を与えるかどうかを示しますEMR。この表の情報は、アプリケーションがデフォルトの設定EMRを使用して Amazon によってインストールされている場合にのみ適用されます。
CVE 影響 EMR メモ CVE-2022-23302 なし Amazon EMRが Log4j をセットアップしない JMSSink CVE-2022-23305 なし Amazon EMRが Log4j をセットアップしない JDBCAppender CVE-2022-23307 なし Amazon EMRが Log4j Chainsaw を設定していない CVE-2020-9493 なし Amazon EMRが Log4j Chainsaw を設定していない CVE-2021-44832 なし Amazon EMRがJNDI接続文字列JDBCAppenderで Log4j を設定しない CVE-2021-4104 なし Amazon EMRは Log4j を使用しません JMSAppender CVE-2020-9488 なし Amazon によってインストールされているアプリケーションは Log4j を使用しEMRません SMTPAppender CVE-2019-17571 なし Amazon はクラスターへのパブリックアクセスをEMRブロックし、起動しない SocketServer CVE-2019-17531 なし 最新の Amazon EMRリリースバージョンにアップグレードすることをお勧めします。Amazon EMR 5.33.0 以降では jackson-databind 2.6.7.4 EMR 以降を使用し、6.1.0 以降では jackson-databind 2.10.0 以降を使用します。これらのバージョンの jackson-databind は、 の影響を受けませんCVE。
