Solução de ação EMR bootstrap da Amazon para Log4j -2021-44228 e -2021-45046 CVE CVE Perguntas frequentes

Abordagem para CVE mitigar -2021-44228

nota

Para a Amazon EMR versão 6.9.0 e posterior, todos os componentes instalados pela Amazon EMR que usam bibliotecas Log4j usam Log4j versão 2.17.1 ou posterior.

Amazon EMR rodando em EC2

O problema discutido em CVE-2021-44228 é relevante para as versões principais do Apache Log4j entre 2.0.0 e 2.14.1 ao processar entradas de fontes não confiáveis. EMROs clusters da Amazon lançados com as versões EMR 5.x até 5.34.0 e EMR 6.x até o Amazon EMR 6.5.0 incluem estruturas de código aberto, como Apache Hive, Flink, Presto e Trino, que usam essas versões do Apache Log4j. HUDI No entanto, muitos clientes usam as estruturas de código aberto instaladas em seus EMR clusters da Amazon para processar e registrar entradas de fontes não confiáveis.

Recomendamos que você aplique a “Amazon EMR Bootstrap Action Solution for Log4j CVE -2021-44228" conforme descrito na seção a seguir. Essa solução também aborda CVE -2021-45046.

nota

Os scripts de ação de bootstrap para a Amazon EMR foram atualizados em 7 de setembro de 2022 para incluir correções incrementais de bugs e melhorias para o Oozie. Se você usa o Oozie, deve aplicar a solução de ação EMR bootstrap atualizada da Amazon descrita na seção a seguir.

Amazon EMR em EKS

Se você usa o Amazon EMR on EKS com a configuração padrão, não é afetado pelo problema descrito em CVE -2021-44228 e não precisa aplicar a solução descrita na seção. Solução de ação EMR bootstrap da Amazon para Log4j -2021-44228 e -2021-45046 CVE CVE Para o Amazon EMR onEKS, o Amazon EMR Runtime para Spark usa o Apache Log4j versão 1.2.17. Ao usar o Amazon EMR on, EKS você não deve alterar a configuração padrão log4j.appender do componente paralog.

Solução de ação EMR bootstrap da Amazon para Log4j -2021-44228 e -2021-45046 CVE CVE

Essa solução fornece uma ação de EMR bootstrap da Amazon que deve ser aplicada em seus EMR clusters da Amazon. Para cada EMR lançamento da Amazon, você encontrará um link para um script de ação de bootstrap abaixo. Para aplicar essa ação de bootstrap, você deve concluir as seguintes etapas:

Copie o script que corresponde à sua EMR versão da Amazon para um bucket S3 local em seu Conta da AWS. Verifique se você está usando um script de bootstrap específico para sua EMR versão da Amazon.
Configure uma ação de bootstrap para que seus EMR clusters executem o script copiado para o bucket do S3 de acordo com as instruções descritas na documentação. EMR Se você tiver outras ações de bootstrap configuradas para seus EMR clusters, certifique-se de que esse script esteja configurado como o primeiro script de ação de bootstrap a ser executado.
Encerre os EMR clusters existentes e inicie novos clusters com o script de ação bootstrap. AWS recomenda que você teste os scripts de bootstrap em seu ambiente de teste e valide seus aplicativos antes de aplicá-los ao seu ambiente de produção. Se você não estiver usando a revisão mais recente para uma versão EMR secundária (por exemplo, 6.3.0), deverá usar a revisão mais recente (por exemplo, 6.3.1) e, em seguida, aplicar a solução discutida acima.

CVE-2021-44228 e -2021-45046 - Scripts de bootstrap para CVE lançamentos da Amazon EMR
Número de EMR lançamento da Amazon	Local do script	Data da versão do script
6.5.0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.5.0-v2.sh`	24 de março de 2022
6.4.0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.4.0-v2.sh`	24 de março de 2022
6.3.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.3.1-v2.sh`	24 de março de 2022
6.2.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.2.1-v2.sh`	24 de março de 2022
6.1.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.1.1-v2.sh`	14 de dezembro de 2021
6.0.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.0.1-v2.sh`	14 de dezembro de 2021
5.34,0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.34.0-v2.sh`	12 de dezembro de 2021
5.3.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.33.1-v2.sh`	12 de dezembro de 2021
5.32.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.32.1-v2.sh`	13 de dezembro de 2021
5.31.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.31.1-v2.sh`	13 de dezembro de 2021
5.30.2	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.30.2-v2.sh`	14 de dezembro de 2021
5.29.0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.29.0-v2.sh`	14 de dezembro de 2021
5.28.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.28.1-v2.sh`	15 de dezembro de 2021
5.27.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.27.1-v2.sh`	15 de dezembro de 2021
5.26.0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.26.0-v2.sh`	15 de dezembro de 2021
5.25.0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.25.0-v2.sh`	15 de dezembro de 2021
5.24.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.24.1-v2.sh`	15 de dezembro de 2021
5.23.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.23.1-v2.sh`	15 de dezembro de 2021
5.22.0	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.22.0-v2.sh`	15 de dezembro de 2021
5.21.2	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.21.2-v2.sh`	15 de dezembro de 2021
5.20.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.20.1-v2.sh`	15 de dezembro de 2021
5.19.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.19.1-v2.sh`	15 de dezembro de 2021
5.18.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.18.1-v2.sh`	15 de dezembro de 2021
5.17.2	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.17.2-v2.sh`	15 de dezembro de 2021
5.16.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.16.1-v2.sh`	15 de dezembro de 2021
5.15.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.15.1-v2.sh`	15 de dezembro de 2021
5.14.2	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.14.2-v2.sh`	15 de dezembro de 2021
5.13.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.13.1-v2.sh`	15 de dezembro de 2021
5.12.3	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.12.3-v2.sh`	15 de dezembro de 2021
5.11.4	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.11.4-v2.sh`	15 de dezembro de 2021
5.10.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.10.1-v2.sh`	15 de dezembro de 2021
5.9.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.9.1-v2.sh`	15 de dezembro de 2021
5.8.3	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.8.3-v2.sh`	15 de dezembro de 2021
5.7.1	`s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.7.1-v2.sh`	15 de dezembro de 2021

EMRversão de lançamento	Revisão mais recente em dezembro de 2021
6.3.0	6.3.1
6.2.0	6.2.1
6.1.0	6.1.1
6.0.0	6.0.1
5.33.0	5.3.1
5.32.0	5.32.1
5.31.0	5.31.1
5.30.0 ou 5.30.1	5.30.2
5.28.0	5.28.1
5.27.0	5.27.1
5.24,0	5.24.1
5.23.0	5.23.1
5.21.0 ou 5.21.1	5.21.2
5.20.0	5.20.1
5.19.0	5.19.1
5.18.0	5.18.1
5.17.0 ou 5.17.1	5.17.2
5.16.0	5.16.1
5.15.0	5.15.1
5.14.0 ou 5.14.1	5.14.2
5.13.0	5.13.1
5.12.0, 5.12.1, 5.12.2	5.12.3
5.11.0, 5.11.1, 5.11.2, 5.11.3	5.11.4
5.9.0	5.9.1
5.8.0, 5.8.1, 5.8.2	5.8.3
5.7.0	5.7.1

Perguntas frequentes

Os EMR lançamentos anteriores a EMR 5 são afetados por CVE -2021-44228?

Não. EMRversões anteriores à EMR versão 5 usam versões do Log4j anteriores à 2.0.
Essa solução aborda CVE -2021-45046?

Sim, essa solução também aborda CVE-2021-45046.
A solução lida com aplicativos personalizados que eu instalo em meus EMR clusters?

O script de bootstrap atualiza somente JAR os arquivos que são instalados peloEMR. Se você instalar e executar aplicativos e JAR arquivos personalizados em seus EMR clusters por meio de ações de bootstrap, como etapas enviadas aos seus clusters, usando o Amazon Linux AMI personalizado ou por meio de qualquer outro mecanismo, trabalhe com o fornecedor do aplicativo para determinar se seus aplicativos personalizados são afetados pelo CVE -2021- 44228 e determine uma solução apropriada.
Como devo lidar com imagens docker personalizadas com EMR on? EKS

Se você adicionar aplicativos personalizados à EMR Amazon EKS usando imagens docker personalizadas ou enviar trabalhos para a Amazon EMR em arquivos de aplicativos EKSwith personalizados, fale com o fornecedor do aplicativo para determinar se seus aplicativos personalizados são afetados pelo CVE -2021-44228 e determine uma solução apropriada.
Como o script de bootstrap funciona para mitigar o problema descrito em CVE -2021-44228 e -2021-45046? CVE

O script bootstrap atualiza as instruções de EMR inicialização adicionando um novo conjunto de instruções. Essas novas instruções excluem os arquivos de JndiLookup classe usados por meio do Log4j por todas as estruturas de código aberto instaladas pelo. EMR Isso segue a recomendação publicada pela Apache para lidar com os problemas do Log4j.
Existe uma atualização EMR que usa as versões 2.17.1 ou superiores do Log4j?

EMR5 versões até a versão 5.34 e EMR 6 versões até a versão 6.5 usam versões mais antigas de estruturas de código aberto que são incompatíveis com as versões mais recentes do Log4j. Se você continuar usando essas versões, recomendamos que você aplique a ação bootstrap para mitigar os problemas discutidos no. CVEs Após a versão EMR 5 5.34 e a versão EMR 6 6.5, os aplicativos que usam o Log4j 1.x e o Log4j 2.x serão atualizados para usar o Log4j 1.2.17 (ou superior) e o Log4j 2.17.1 (ou superior), respectivamente, e não exigirão o uso das ações de bootstrap fornecidas acima para mitigar os problemas. CVE
Os EMR lançamentos são afetados pelo CVE -2021-45105?

Os aplicativos instalados pela Amazon EMR com EMR as configurações padrão não são afetados por CVE -2021-45105. Entre os aplicativos instalados pela AmazonEMR, somente o Apache Hive usa o Apache Log4j com pesquisas de contexto e não usa layout de padrão não padrão de forma a permitir que dados de entrada inadequados sejam processados.

A Amazon é EMR afetada por alguma das seguintes CVE divulgações?

A tabela a seguir contém uma lista dos CVEs que estão relacionados ao Log4j e indica se cada um afeta a CVE Amazon. EMR As informações nesta tabela só se aplicam quando os aplicativos são instalados pela Amazon EMR usando as configurações padrão.

CVE	Impactos EMR	Observações
CVE-2022-23302	Não	A Amazon EMR não configura o Log4j JMSSink
CVE-2022-23305	Não	A Amazon EMR não configura o Log4j JDBCAppender
CVE-2022-23307	Não	A Amazon EMR não configura o Log4j Chainsaw
CVE-2020-9493	Não	A Amazon EMR não configura o Log4j Chainsaw
CVE-2021-44832	Não	EMRA Amazon não configura o Log4j JDBCAppender com uma string de conexão JNDI
CVE-2021-4104	Não	A Amazon EMR não usa o Log4j JMSAppender
CVE-2020-948	Não	Os aplicativos instalados pela Amazon EMR não usam o Log4j SMTPAppender
CVE-2019-17 571	Não	A Amazon EMR bloqueia o acesso público aos clusters e não inicia SocketServer
CVE-2019-17 531	Não	Recomendamos que você atualize para a EMR versão mais recente da Amazon. O Amazon EMR 5.33.0 e versões posteriores usam jackson-databind 2.6.7.4 ou posterior, e 6.1.0 e versões posteriores usam jackson-databind 2.10.0 ou posterior. EMR Essas versões do jackson-databind não são afetadas pelo. CVE

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

O que há de novo?

Arquivo