亚马逊云科技一直密切关注最近出现的与开源Apache“log4j2”功能(CE4-2021-44228)有关的安全问题，并竭力为所有使用log4j2或将log4j2作为部分服务提供给用户的亚马逊云科技服务解决这一问题。

我们强烈建议管理包含log4j2环境的用户前往https://logging.apache.org/log4j/2.x/download.html或利用操作系统的软件升级功能更新到最新版本。其他特定服务的信息如下。

Amazon

EC2

亚马逊Linux2默认包储存库1.2.17-16中提供的log4j2版本在默认配置下不受此问题影响。为保护使用log4j2自定义配置的用户，我们正竭力为亚马逊Linux2软件包储存库制作log4j2的更新版本，并会在该版本可用时通知用户。

亚马逊Linux1默认包储存库1.2.16-6中提供的log4j2版本在默认配置下不受此问题影响。为保护使用log4j自定义配置的用户，我们正竭力为亚马逊Linux1软件包储存库制作log4j2的更新版本，并会在该版本可用时通知用户。

Amazon

WAF/Shield

为更好地检测和降低近来Log4j安全问题引起的风险，我们更新了Amazon WAF服务中的Amazon Managed Rules Known BadInputs RuleSet AMR。

CloudFront、应用程序负载均衡器(ALB)、API Gateway和AppSync的用户现在即可用以下方法降低风险，通过创建Amazon WAF web ACL，添加Amazon Managed Rules Known BadInputs RuleSet到您的web ACL，然后将web ACL与您的CloudFront Distribution、ALB、API Gateway或AppSync GraphQL API相关联，以检查uri、请求体、常用标头。

请注意，由于Amazon WAF Classic中不提供AMR，请升级至(wafv2)以降低风险。

Amazon

OpenSearch

我们正在更新所有Amazon OpenSearch Service域，以使用“Log4j2”版本来解决该问题。在更新过程中，您的域中可能会出现间歇性状况。

Amazon

Lambda

Amazon Lambda在其托管运行时或基础容器映像中不包含Log4j2。因此，它们不受CVE-2021-44228中所描述问题的影响。在工作中使用Amazon Lambda java log4j2库的用户需要更新到1.3.0版本并重新配置。

Amazon

CloudHSM

Amazon CloudHSM JCE SDK 3.4.1之前的版本包含受此问题影响的Apache Log4j版本。2021年12月10日，Amazon CloudHSM发布了带有Apache Log4j固定版本的JCE SDK v3.4.1。如果您使用的是Amazon CloudHSM JCE 3.4.1之前的版本，您可能会受到影响，应将CloudHSM JCE SDK升级到3.4.1或更高版本来修复。