Log4j漏洞熱修補有漏洞，AWS又再次修補

去年公布的Apache Log4j漏洞促使眾多雲端服務商及軟體廠商加緊修補，但安全研究人員發現AWS第一波的熱修補不全，導致新增4項漏洞。不過在通報後，AWS於本周再次修補完成。

Log4j漏洞（即Log4Shell）公布後，AWS 安裝了熱修補程式（hot patch）一方面監控Java應用程式及Java 容器安全，同時啟動修補。這些修補方案涵括獨立伺服器、Kubernetes叢集、ECS（Elastic Container Service）叢集及無伺服器運算引擎Fargate等。這個方案不只用於AWS環境，也可以安裝在其他雲端和本地部署環境。

但Palo Alto Networks安全研究人員發現，AWS安裝的這個hotpatch及相關AWS 自有容器Linux發行版Bottlerocket的OCI hooks（名為Hotdog）有數項漏洞，其中CVE-2021-3100、CVE-2021-3101較早出現。CVE-2021-3100影響hotpatch for Apache Log4j 1.1-12版本以前的權限升級漏洞，讓沒有特權許可的行程擴充其權限，並以根許可執行程式碼。CVE-2021-3101則影響Hotdog v1.0.1版本以前的容器逃逸（container escape），使同一個環境，包括伺服器或Kubernete叢集上所有容器的惡意程式可接管底層主機。這些漏洞允許容器逃逸，不論容器是否執行Java應用程式，或是底層是否為AWS Bottlerocket。另外，以使用者命名空間或以非根權限使用者執行的容器也會受到影響。

但hotpatch for Apache Log4j 1.1-12及Hotdog v1.0.1並未能修補成功，因而衍生出CVE-2022-0070和CVE-2022-0071。

美國NIST漏洞資料庫沒有給予這四項漏洞風險值，不過Palo Alto將4項漏洞風險分別評為8.8。

AWS接獲通報後，於本周稍早針對Amazon Linux、Amazon Linux 2釋出了新版hotpatch for Apache Log4j（Version 1.1-16）及新版Hotdog（Version 1.02），建議容器內執行Java應用程式，以及使用具有hotpatch 的Bottlerocket用戶應立即升級到最新版。

AWS表示，新版Hotpatch需要升級到最新Linux核心，用戶不應略過任何核心更新。同樣的，新版Hotdog也需Bottlerocket升級到最新版。