AWSGlueETL是依赖于log4j的安全漏洞“CVE-2021-44228”

Question

由于已经通知了有关log4j安全漏洞的信息，我研究了应用程序是否受到影响。我发现AWSGlueETL是由这里引入的依赖log4j安全漏洞。pom.xml包括以下定义。

    <dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-api</artifactId>
      <version>2.4.1</version>
    </dependency>

    <dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-core</artifactId>
      <version>2.4.1</version>
    </dependency>

    <dependency>
      <groupId>log4j</groupId>
      <artifactId>log4j</artifactId>
      <version>1.2.17</version>
    </dependency>

最新版本的3.0.0也依赖于相同的漏洞。我想知道这个问题将来会不会解决。

Answer 1

AWS已经提供了这方面的更新，看起来他们正在将亚马逊开发的Java热补丁应用于所有受影响的服务，请参阅这里以获得更多信息https://aws.amazon.com/security/security-bulletins/AWS-2021-006/。

从文件中：

对这样的安全问题的响应显示了拥有多层防御技术的价值，这对于维护客户数据和工作负载的安全性非常重要。我们非常认真地对待这个问题，我们世界级的工程师团队已经将亚马逊开发的Java热点补丁完全部署到所有AWS服务中。热修补程序更新Java以禁用Java命名和目录接口(JNDI)类的加载，代之以无害的通知消息，从而减轻CVE-2021-44228和CVE-2021-45046。我们将很快完成对所有服务的更新Log4j库的部署。有关Java修补程序的更多信息可在https://aws.amazon.com/blogs/security/open-source-hotpatch-for-apache-log4j-vulnerability/上获得。

谢谢