翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CVE-2021-44228 を軽減するためのアプローチ
注記
Amazon EMRリリース 6.9.0 以降では、Log4j ライブラリを使用する Amazon によってインストールされるすべてのコンポーネントEMRはLog4j バージョン 2.17.1 以降を使用します。
でEMR実行されている Amazon EC2
CVE-2021-44228
次のセクションで説明するように、「Amazon EMR Bootstrap Action Solution for Log4j CVE-2021-44228」を適用することをお勧めします。このソリューションは CVE-2021-45046 にも対応しています。
注記
Amazon のブートストラップアクションスクリプトEMRは、2022 年 9 月 7 日に更新され、Oozie の増分バグ修正と改善が含まれています。Oozie を使用する場合は、次のセクションで説明する更新された Amazon EMRブートストラップアクションソリューションを適用する必要があります。
EMRでの Amazon EKS
デフォルト設定で EMRで Amazon EKS を使用する場合、CVE-2021-44228 で説明されている問題の影響を受けず、 Log4j CVE-2021-44228 および CVE-2021-45046 用の Amazon EMRブートストラップアクションソリューションセクションで説明されているソリューションを適用する必要はありません。EMR の Amazon の場合EKS、Spark の Amazon EMRランタイムは Apache Log4j バージョン 1.2.17 を使用します。Amazon EMR on を使用する場合EKS、log4j.appender
コンポーネントのデフォルト設定を に変更しないでくださいlog
。
Log4j CVE-2021-44228 および CVE-2021-45046 用の Amazon EMRブートストラップアクションソリューション
このソリューションは、Amazon EMRクラスターに適用する必要がある Amazon EMRブートストラップアクションを提供します。Amazon EMRリリースごとに、ブートストラップアクションスクリプトへのリンクが以下にあります。このブートストラップアクションを適用するには、次の手順を完了する必要があります。
-
Amazon EMRリリースに対応するスクリプトを のローカル S3 バケットにコピーします AWS アカウント。Amazon EMRリリースに固有のブートストラップスクリプトを使用していることを確認してください。
-
EMR ドキュメント で説明されている手順に従って、S3 バケットにコピーされたスクリプトを実行するようにEMRクラスターのブートストラップアクションを設定します。EMR クラスターに他のブートストラップアクションが設定されている場合は、このスクリプトが最初に実行するブートストラップアクションスクリプトとして設定されていることを確認してください。
-
既存のEMRクラスターを終了し、ブートストラップアクションスクリプトを使用して新しいクラスターを起動します。テスト環境でブートストラップスクリプトを AWS テストし、本番環境に適用する前にアプリケーションを検証することをお勧めします。マイナーリリースの最新のリビジョン (6.3.0 など) EMR を使用していない場合は、最新のリビジョン (6.3.1 など) を使用して、上記のソリューションを適用する必要があります。
CVE-2021-44228 および CVE-2021-45046 - Amazon EMRリリース用のブートストラップスクリプト | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Amazon EMRリリース番号 | スクリプトの場所 | スクリプトリリース日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
6.5.0 |
|
2022 年 3 月 24 日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
6.4.0 |
|
2022 年 3 月 24 日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
6.3.1 |
|
2022 年 3 月 24 日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
6.2.1 |
|
2022 年 3 月 24 日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
6.1.1 |
|
2021 年 12 月 14 日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
6.0.1 |
|
2021 年 12 月 14 日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.34.0 |
|
2021 年 12 月 12 日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.33.1 |
|
2021 年 12 月 12 日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.32.1 |
|
2021 年 12 月 13 日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.31.1 |
|
2021 年 12 月 13 日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.30.2 |
|
2021 年 12 月 14 日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.29.0 |
|
2021 年 12 月 14 日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.28.1 |
|
2021 年 12 月 15日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.27.1 |
|
2021 年 12 月 15日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.26.0 |
|
2021 年 12 月 15日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.25.0 |
|
2021 年 12 月 15日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.24.1 |
|
2021 年 12 月 15日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.23.1 |
|
2021 年 12 月 15日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.22.0 |
|
2021 年 12 月 15日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.21.2 |
|
2021 年 12 月 15日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.20.1 |
|
2021 年 12 月 15日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.19.1 |
|
2021 年 12 月 15日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.18.1 |
|
2021 年 12 月 15日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.17.2 |
|
2021 年 12 月 15日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.16.1 |
|
2021 年 12 月 15日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.15.1 |
|
2021 年 12 月 15日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.14.2 |
|
2021 年 12 月 15日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.13.1 |
|
2021 年 12 月 15日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.12.3 |
|
2021 年 12 月 15日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.11.4 |
|
2021 年 12 月 15日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.10.1 |
|
2021 年 12 月 15日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.9.1 |
|
2021 年 12 月 15日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.8.3 |
|
2021 年 12 月 15日 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5.7.1 |
|
2021 年 12 月 15日 |
EMR リリースバージョン | 2021 年 12 月現在の最新リビジョン |
---|---|
6.3.0 | 6.3.1 |
6.2.0 | 6.2.1 |
6.1.0 | 6.1.1 |
6.0.0 | 6.0.1 |
5.33.0 | 5.33.1 |
5.32.0 | 5.32.1 |
5.31.0 | 5.31.1 |
5.30.0 または 5.30.1 | 5.30.2 |
5.28.0 | 5.28.1 |
5.27.0 | 5.27.1 |
5.24.0 | 5.24.1 |
5.23.0 | 5.23.1 |
5.21.0 または 5.21.1 | 5.21.2 |
5.20.0 | 5.20.1 |
5.19.0 | 5.19.1 |
5.18.0 | 5.18.1 |
5.17.0 または 5.17.1 | 5.17.2 |
5.16.0 | 5.16.1 |
5.15.0 | 5.15.1 |
5.14.0 または 5.14.1 | 5.14.2 |
5.13.0 | 5.13.1 |
5.12.0、5.12.1、5.12.2 | 5.12.3 |
5.11.0、5.11.1、5.11.2、5.11.3 | 5.11.4 |
5.9.0 | 5.9.1 |
5.8.0、5.8.1、5.8.2 | 5.8.3 |
5.7.0 | 5.7.1 |
よくある質問
-
5 より前のEMRリリースは EMR CVE-2021-44228 の影響を受けていますか?
いいえ。EMRリリース 5 より前のEMRリリースでは、2.0 より前の Log4j バージョンを使用しています。
-
このソリューションは CVE-2021-45046 に対応していますか?
はい。このソリューションでは CVE-2021-45046 も扱います。
-
このソリューションは、EMRクラスターにインストールしたカスタムアプリケーションを処理しますか?
ブートストラップスクリプトは、 によってインストールされたJARファイルのみを更新しますEMR。ブートストラップアクション、EMRクラスターに送信されたステップ、カスタム Amazon Linux の使用AMI、またはその他のメカニズムを通じてカスタムアプリケーションとJARファイルをクラスターにインストールして実行する場合は、アプリケーションベンダーと協力して、カスタムアプリケーションが CVE-2021~44228 の影響を受けるかどうかを判断し、適切なソリューションを決定してください。
-
EMRの でカスタマイズされた Docker イメージを処理するにはどうすればよいですかEKS?
カスタマイズされた Docker イメージEKSを使用して EMRで Amazon にカスタムアプリケーションを追加したり、EKSwithカスタムアプリケーションファイルEMRで Amazon にジョブを送信したりする場合は、アプリケーションベンダーと協力して、カスタムアプリケーションが CVE-2021-44228 の影響を受けるかどうかを判断し、適切なソリューションを決定してください。
-
および CVE-2021-44228 に記載されている問題を軽減するために、ブートストラップスクリプトはどのように機能しますかCVE-2021-45046?
ブートストラップスクリプトは、新しい命令セットを追加してEMR起動命令を更新します。これらの新しい手順では、 によってインストールされたすべてのオープンソースフレームワークによって Log4j を介して使用される JndiLookup クラスファイルを削除しますEMR。これは、Log4j の問題に対処するための Apache の勧告
に従うものです。 -
Log4j バージョン 2.17.1 以降EMRを使用する の更新はありますか?
EMR リリース 5.34 までの 5 EMR つのリリースとリリース 6.5 までの 6 つのリリースでは、Log4j の最新バージョンと互換性のない古いバージョンのオープンソースフレームワークを使用します。これらのリリースを引き続き使用する場合は、「」で説明されている問題を軽減するために、ブートストラップアクションを適用することをお勧めしますCVEs。EMR 5 リリース 5.34 および EMR 6 リリース 6.5 以降、Log4j 1.x および Log4j 2.x を使用するアプリケーションは、それぞれ Log4j 1.2.17 (またはそれ以上) および Log4j 2.17.1 (またはそれ以上) を使用するようにアップグレードされ、CVE問題を軽減するために上記のブートストラップアクションを使用する必要はありません。
-
EMRリリースは CVE-2021-45105 の影響を受けますか?
EMRのデフォルト設定EMRで Amazon によってインストールされるアプリケーションは、CVE-2021-45105 の影響を受けません。Amazon によってインストールされるアプリケーションの中でEMR、Apache Hive のみがコンテキストルックアップ
で Apache Log4j を使用し、不適切な入力データを処理できる方法でデフォルト以外のパターンレイアウトを使用しません。 -
Amazon は、次のいずれかのCVE開示のEMR影響を受けますか?
次の表に、Log4j に関連する のリストと、各 CVEsが Amazon CVEに影響を与えるかどうかを示しますEMR。この表の情報は、アプリケーションがデフォルトの設定EMRを使用して Amazon によってインストールされている場合にのみ適用されます。
CVE 影響 EMR メモ CVE-2022-23302 なし Amazon EMRが Log4j をセットアップしない JMSSink CVE-2022-23305 なし Amazon EMRが Log4j をセットアップしない JDBCAppender CVE-2022-23307 なし Amazon EMRが Log4j Chainsaw をセットアップしていない CVE-2020-9493 なし Amazon EMRが Log4j Chainsaw をセットアップしていない CVE-2021-44832 なし Amazon EMRがJNDI接続文字列JDBCAppenderで Log4j をセットアップしない CVE-2021-4104 なし Amazon EMRは Log4j を使用しません JMSAppender CVE-2020-9488 なし Amazon によってインストールされているアプリケーションは Log4j を使用しEMRません SMTPAppender CVE-2019-17571 なし Amazon はクラスターへのパブリックアクセスをEMRブロックし、起動しない SocketServer CVE-2019-17531 なし 最新の Amazon EMRリリースバージョンにアップグレードすることをお勧めします。Amazon EMR 5.33.0 以降では jackson-databind 2.6.7.4 EMR 以降を使用し、6.1.0 以降では jackson-databind 2.10.0 以降を使用します。これらのバージョンの jackson-databind は、 の影響を受けませんCVE。