由于已经通知了log4j安全漏洞的信息,我研究了我的应用程序是否受到影响。我发现由here引入的AWSGlueETL依赖于log4j安全漏洞。pom.xml包括以下定义。
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.4.1</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.4.1</version>
</dependency>
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
</dependency>最新版本的3.0.0也依赖于相同的漏洞。我想知道这个问题是否会在未来得到修复。
1条答案
按热度按时间0h4hbjxa1#
AWS已经提供了一个更新,看起来他们正在将亚马逊开发的Java热补丁应用到所有受影响的服务,请参阅此处了解更多信息https://aws.amazon.com/security/security-bulletins/AWS-2021-006/
从文档中:
对此类安全问题的响应表明了多层防御技术的价值,这对于维护客户数据和工作负载的安全性非常重要。我们非常认真地对待这一问题。我们的世界级工程师团队已经将Amazon开发的Java热补丁完全部署到了所有AWS服务中。热修补程序更新Java VM以禁用Java命名和目录接口的加载(JNDI)类,将其替换为无害的通知消息,该补丁缓解了CVE-2021-44228和CVE-2021-45046。我们将很快完成将更新的Log4j库部署到我们所有服务的工作。有关Java热补丁的更多信息,请访问https://aws.amazon.com/blogs/security/open-source-hotpatch-for-apache-log4j-vulnerability/
谢谢