기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
CVE-2021-44228 완화를 위한 접근 방식
아마존 EMR 릴리스 6.9.0 이상에서는 Log4j 라이브러리를 사용하는 Amazon EMR에서 설치하는 모든 구성 요소가 Log4j 버전 2.17.1 이상을 사용합니다.
EC2에서 실행되는 아마존 EMR
CVE-2021-44228
다음 섹션에 설명된 대로 “Log4j CVE-2021-44228용 아마존 EMR 부트스트랩 작업 솔루션”을 적용하는 것이 좋습니다. 이 솔루션은 CVE-2021-45046 문제도 해결합니다.
Amazon EMR용 부트스트랩 작업 스크립트는 2022년 9월 7일에 Oozie에 대한 점진적인 버그 수정 및 개선 사항을 포함하도록 업데이트되었습니다. Oozie를 사용하는 경우 다음 섹션에 설명된 업데이트된 Amazon EMR 부트스트랩 작업 솔루션을 적용해야 합니다.
Amazon EMR on EKS
기본 구성으로 EKS에서 Amazon EMR을 사용하는 경우 CVE-2021-44228 설명에 설명된 문제의 영향을 받지 않으므로Log4j CVE-2021-44228 및 CVE-2021-45046 전용 아마존 EMR 부트스트랩 액션 솔루션 섹션에 설명된 솔루션을 적용할 필요도 없습니다. EKS 기반 아마존 EMR의 경우 스파크용 아마존 EMR 런타임은 아파치 Log4j 버전 1.2.17을 사용합니다. EKS에서 Amazon EMR을 사용할 때는log4j.appender 구성 요소의 기본 설정을 로 변경하지 않아야log 합니다.
Log4j CVE-2021-44228 및 CVE-2021-45046 전용 아마존 EMR 부트스트랩 액션 솔루션
이 솔루션은 Amazon EMR 클러스터에 적용해야 하는 Amazon EMR 부트스트랩 작업을 제공합니다. 각 Amazon EMR 릴리스에 대해 아래에서 부트스트랩 작업 스크립트 링크를 찾을 수 있습니다. 이 부트스트랩 작업을 적용하려면 다음 단계를 수행해야 합니다.
-
Amazon EMR 릴리스에 해당하는 스크립트를 사용자의 로컬 S3 버킷에AWS 계정 복사합니다. Amazon EMR 릴리스에 맞는 부트스트랩 스크립트를 사용하고 있는지 확인하십시오.
-
EMR 설명서에 설명된 지침에 따라 S3 버킷에 복사된 스크립트를 실행하도록 EMR 클러스터의 부트스트랩 작업을 설정합니다. EMR 클러스터에 다른 부트스트랩 작업을 구성한 경우 이 스크립트가 실행할 첫 번째 부트스트랩 작업 스크립트로 설정되어 있는지 확인하십시오.
-
기존 EMR 클러스터를 종료하고 부트스트랩 작업 스크립트를 사용하여 새 클러스터를 시작합니다. AWS테스트 환경에서 부트스트랩 스크립트를 테스트하고 프로덕션 환경에 적용하기 전에 애플리케이션을 검증할 것을 권장합니다. EMR 부 릴리스 (예: 6.3.0) 의 최신 버전을 사용하지 않는 경우 최신 개정 (예: 6.3.1) 을 사용한 다음 위에서 설명한 솔루션을 적용해야 합니다.
CVE-2021-44228 및 CVE-2021-45046 - EMR 릴리스용 부트스트랩 스크립트 | ||
|---|---|---|
| Amazon EMR 릴리스 버전 Amazon EMR 릴리스 | 스크립트 위치 | 스크립트 릴리스 날짜 |
| 6.5.0 |
|
2022년 3월 24일 |
| 6.4.0 |
|
2022년 3월 24일 |
| 6.3.1 |
|
2022년 3월 24일 |
| 6.2.1 |
|
2022년 3월 24일 |
| 6.1.1 |
|
2021년 12월 14일 |
| 6.0.1 |
|
2021년 12월 14일 |
| 5.34.0 |
|
2021년 12월 12일 12일 |
| 5.33.1 |
|
2021년 12월 12일 12일 |
| 5.32.1 |
|
2021년 12월 13일 |
| 5.31.1 |
|
2021년 12월 13일 |
| 5.30.2 |
|
2021년 12월 14일 |
| 5.29.0 |
|
2021년 12월 14일 |
| 5.28.1 |
|
2021년 12월 15일 |
| 5.27.1 |
|
2021년 12월 15일 |
| 5.26.0 |
|
2021년 12월 15일 |
| 5.25.0 |
|
2021년 12월 15일 |
| 5.24.1 |
|
2021년 12월 15일 |
| 5.23.1 |
|
2021년 12월 15일 |
| 5.22.0 |
|
2021년 12월 15일 |
| 5.21.2 |
|
2021년 12월 15일 |
| 5.20.1 |
|
2021년 12월 15일 |
| 5.19.1 |
|
2021년 12월 15일 |
| 5.18.1 |
|
2021년 12월 15일 |
| 5.17.2 |
|
2021년 12월 15일 |
| 5.16.1 |
|
2021년 12월 15일 |
| 5.15.1 |
|
2021년 12월 15일 |
| 5.14.2 |
|
2021년 12월 15일 |
| 5.13.1 |
|
2021년 12월 15일 |
| 5.12.3 |
|
2021년 12월 15일 |
| 5.11.4 |
|
2021년 12월 15일 |
| 5.10.1 |
|
2021년 12월 15일 |
| 5.9.1 |
|
2021년 12월 15일 |
| 5.8.3 |
|
2021년 12월 15일 |
| 5.7.1 |
|
2021년 12월 15일 |
| EMR 릴리스 버전 | 최신 개정판은 2021년 12월 기준입니다. |
|---|---|
| 6.3.0 | 6.3.1 |
| 6.2.0 | 6.2.1 |
| 6.1.0 | 6.1.1 |
| 6.0.0 | 6.0.1 |
| 5.33.0 | 5.33.1 |
| 5.32.0 | 5.32.1 |
| 5.31.0 | 5.31.1 |
| 5.30.0 또는 5.30.1 | 5.30.2 |
| 5.28.0 | 5.28.1 |
| 5.27.0 | 5.27.1 |
| 5.24.0 | 5.24.1 |
| 5.23.0 | 5.23.1 |
| 5.21.0 또는 5.21.1 | 5.21.2 |
| 5.20.0 | 5.20.1 |
| 5.19.0 | 5.19.1 |
| 5.18.0 | 5.18.1 |
| 5.17.0 또는 5.17.1 | 5.17.2 |
| 5.16.0 | 5.16.1 |
| 5.15.0 | 5.15.1 |
| 5.14.0 또는 5.14.1 | 5.14.2 |
| 5.13.0 | 5.13.1 |
| 5.12.0, 5.12.1, 5.12.2 | 5.12.3 |
| 5.11.0, 5.11.1, 5.11.2, 5.11.3 | 5.11.4 |
| 5.9.0 | 5.9.1 |
| 5.8.0, 5.8.1, 5.8.2 | 5.8.3 |
| 5.7.0 | 5.7.1 |
FAQ
-
EMR 5보다 오래된 EMR 릴리스는 CVE-2021-44228 영향을 받나요?
아니오. EMR 릴리스 5 이전의 EMR 릴리스에서는 2.0보다 오래된 Log4j 버전을 사용합니다.
-
이 솔루션이 CVE-2021-45046 문제를 해결합니까?
예, 이 솔루션은 CVE-2021-45046 문제도 해결합니다.
-
솔루션이 EMR 클러스터에 설치하는 사용자 지정 애플리케이션을 처리합니까?
부트스트랩 스크립트는 EMR에서 설치한 JAR 파일만 업데이트합니다. 부트스트랩 작업, 클러스터에 제출된 단계, 사용자 지정 Amazon Linux AMI 사용 또는 기타 메커니즘을 통해 EMR 클러스터에 사용자 지정 애플리케이션 및 JAR 파일을 설치하고 실행하는 경우 애플리케이션 공급업체에 문의하여 사용자 지정 애플리케이션이 CVE-2021- 44228의 영향을 받는지 확인하고 적절한 솔루션을 결정하십시오.
-
EKS에서 EMR을 사용하여 사용자 지정된 docker 이미지를 처리하려면 어떻게 해야 합니까?
사용자 지정 docker 이미지를 사용하여 EKS의 Amazon EMR에 사용자 지정 애플리케이션을 추가하거나 사용자 지정 애플리케이션 파일을 사용하여 EKS의 Amazon EMR에 작업을 제출하는 경우, 애플리케이션 공급업체에 문의하여 사용자 지정 애플리케이션이 CVE-2021-44228 영향을 받는지 확인하고 적절한 솔루션을 결정하십시오.
-
부트트스트랩 스크립트는 CVE-2021-44228 및 CVE-2021-45046 에서 설명한 문제를 완화할 수 있습니다.
부트스트랩 스크립트는 새 명령 세트를 추가하여 EMR 시작 지침을 업데이트합니다. 이 새 명령어는 EMR에 설치된 모든 오픈 소스 프레임워크에서 Log4j를 통해 사용되는 JndiLookup 클래스 파일을 삭제합니다. 이는 Log4j 문제 해결을 위해 Apache에서 게시한 권장 사항을
따릅니다. -
Log4j 버전 2.17.1 이상을 사용하는 EMR 업데이트가 있습니까?
릴리스 5.34까지의 EMR 5 릴리스와 릴리스 6.5까지의 EMR 6 릴리스는 최신 버전의 Log4j와 호환되지 않는 이전 버전의 오픈 소스 프레임워크를 사용합니다. 이러한 릴리스를 계속 사용하는 경우 부트스트랩 작업을 적용하여 CVE에서 설명한 문제를 완화하는 것이 좋습니다. EMR 5 릴리스 5.34 및 EMR 6 릴리스 6.5 이후에는 Log4j 1.x 및 Log4j 2.x를 사용하는 애플리케이션이 각각 Log4j 1.2.17 (이상) 및 Log4j 2.17.1 (이상) 을 사용하도록 업그레이드되므로 CVE 문제를 완화하기 위해 위에 제공된 부트스트랩 작업을 사용할 필요가 없습니다.
-
EMR 릴리스가 CVE-2021-45105 영향을 받나요?
Amazon EMR에서 EMR의 기본 구성으로 설치한 애플리케이션은 CVE-2021-45105 영향을 받지 않습니다. Amazon EMR에서 설치한 애플리케이션 중 Apache Hive만이 컨텍스트 조회와
함께 Apache Log4j를 사용하며 부적절한 입력 데이터를 처리할 수 있는 방식으로 기본이 아닌 패턴 레이아웃을 사용하지 않습니다. -
Amazon EMR은 다음과 같은 CVE 공개에 영향을 받습니까?
다음 표에는 Log4j와 관련된 CVE 목록이 나와 있으며 각 CVE가 Amazon EMR에 영향을 미치는지 여부가 나와 있습니다. 이 표의 정보는 Amazon EMR에서 기본 구성을 사용하여 애플리케이션을 설치하는 경우에만 적용됩니다.
CVE EMR에 영향을 미칩니다 참고 CVE-2022-23302 아니요 아마존 EMR은 Log4j JMsSink를 설정하지 않습니다. CVE-2022-23305 아니요 아마존 EMR은 Log4j JDBCappender를 설정하지 않습니다. CVE-2022-23307 아니요 아마존 EMR은 Log4j 전기톱을 설정하지 않습니다 CVE-2020-9493 아니요 아마존 EMR은 Log4j 전기톱을 설정하지 않습니다 CVE-2021-44832 아니요 아마존 EMR은 JNDI 연결 문자열을 사용하여 Log4j JDBCappender를 설정하지 않습니다. CVE-2021-4104 아니요 아마존 EMR은 Log4j JMSappender를 사용하지 않습니다. CVE-2020-9488 아니요 아마존 EMR에서 설치하는 애플리케이션은 Log4j SMTPAppender를 사용하지 않습니다. CVE-2019-17571 아니요 Amazon EMR은 클러스터에 대한 퍼블릭 액세스를 차단하고 시작하지 않습니다. SocketServer CVE-2019-17531 아니요 최신 Amazon EMR 릴리스 버전으로 업그레이드하는 것이 좋습니다. Amazon EMR 5.33.0 이상에서는 jackson-databind 2.6.7.4 이상을 사용하고 EMR 6.1.0 이상에서는 jackson-databind 2.10.0 이상을 사용합니다. 이러한 버전의 jackson-databind CVE의 영향을 받지 않습니다.
