AWS
去年公布的Apache Log4j漏洞促使眾多雲端服務商及軟體廠商加緊修補,但安全研究人員發現AWS第一波的熱修補不全,導致新增4項漏洞。不過在通報後,AWS於本周再次修補完成。
Log4j漏洞(即Log4Shell)公布後,AWS 安裝了熱修補程式(hot patch)一方面監控Java應用程式及Java 容器安全,同時啟動修補。這些修補方案涵括獨立伺服器、Kubernetes叢集、ECS(Elastic Container Service)叢集及無伺服器運算引擎Fargate等。這個方案不只用於AWS環境,也可以安裝在其他雲端和本地部署環境。
但Palo Alto Networks安全研究人員發現,AWS安裝的這個hotpatch及相關AWS 自有容器Linux發行版Bottlerocket的OCI hooks(名為Hotdog)有數項漏洞,其中CVE-2021-3100、CVE-2021-3101較早出現。CVE-2021-3100影響hotpatch for Apache Log4j 1.1-12版本以前的權限升級漏洞,讓沒有特權許可的行程擴充其權限,並以根許可執行程式碼。CVE-2021-3101則影響Hotdog v1.0.1版本以前的容器逃逸(container escape),使同一個環境,包括伺服器或Kubernete叢集上所有容器的惡意程式可接管底層主機。這些漏洞允許容器逃逸,不論容器是否執行Java應用程式,或是底層是否為AWS Bottlerocket。另外,以使用者命名空間或以非根權限使用者執行的容器也會受到影響。
但hotpatch for Apache Log4j 1.1-12及Hotdog v1.0.1並未能修補成功,因而衍生出CVE-2022-0070和CVE-2022-0071。
美國NIST漏洞資料庫沒有給予這四項漏洞風險值,不過Palo Alto將4項漏洞風險分別評為8.8。
AWS接獲通報後,於本周稍早針對Amazon Linux、Amazon Linux 2釋出了新版hotpatch for Apache Log4j(Version 1.1-16)及新版Hotdog(Version 1.02),建議容器內執行Java應用程式,以及使用具有hotpatch 的Bottlerocket用戶應立即升級到最新版。
AWS表示,新版Hotpatch需要升級到最新Linux核心,用戶不應略過任何核心更新。同樣的,新版Hotdog也需Bottlerocket升級到最新版。
熱門新聞
2024-12-03
2024-11-29
2024-11-20
2024-12-02
2024-12-02