Utilisez le document Log4j SSM pour découvrir les occurrences dans Accelerate - Guide de l'utilisateur d'AMS Accelerate

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisez le document Log4j SSM pour découvrir les occurrences dans Accelerate

Le document Log4j ( AWS Systems Manager document SSM) vous aide à rechercher la bibliothèque Apache Log4j2 dans les charges de travail ingérées. Le document d'automatisation fournit un rapport sur l'ID de processus des applications Java dans lesquelles la bibliothèque Log4j2 est active.

Le rapport inclut des informations sur les archives Java (fichiers JAR), trouvées dans l'environnement spécifié qui contient la JndiLookup classe. Il est recommandé de mettre à niveau les bibliothèques découvertes vers la dernière version disponible. Cette mise à niveau atténue l'exécution de code à distance (RCE) identifiée par le biais du CVE-2021-44228. Téléchargez la dernière version de la bibliothèque Log4j depuis Apache. Pour plus d'informations, voir Télécharger Apache Log4j 2.

Le document est partagé avec toutes les régions intégrées à Accelerate,. Pour accéder au document, procédez comme suit :

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, cliquez sur Documents.

  3. Choisissez Partagé avec moi.

  4. Dans le champ de recherche, saisissez AWSManagedServices-GatherLog4JInformation.

  5. Utilisez le contrôle du débit pour exécuter le document à grande échelle.

Le document AWSManagedServices-GatherLog 4JInformation rassemble les paramètres suivants :

  • InstanceId: (Obligatoire) ID de votre EC2 instance.

  • S3Bucket : (Facultatif) URL pré-signée S3 ou URI S3 (s3://BUCKET_NAME) vers laquelle télécharger les résultats.

  • AutomationAssumeRole: (Obligatoire) L'ARN du rôle qui permet à l'automatisation d'effectuer des actions en votre nom.

Il est recommandé d'exécuter ce document à l'aide du contrôle du débit. Vous pouvez définir le paramètre de contrôle du débit comme étant le InstanceIdet lui attribuer soit une liste d'instances, soit appliquer une combinaison balise-touche pour cibler toutes les EC2 instances dotées d'une certaine balise. AWS Managed Services vous recommande également de fournir un bucket Amazon Simple Storage Service (Amazon S3) dans lequel télécharger les résultats, afin de pouvoir créer un rapport à partir des données stockées dans S3. Pour un exemple de la façon d'agréger les résultats dans S3, voir EC2 Instance Stack | Gather Log4j Information.

Si vous ne parvenez pas à mettre à jour le package, suivez les instructions décrites dans la section AWS Sécurité de l'article Utilisation des services de AWS sécurité pour vous protéger contre la vulnérabilité Log4j, la détecter et y répondre. Pour atténuer les vulnérabilités en supprimant la fonctionnalité de JndiLookup classe, exécutez le hot patch Log4j en ligne avec vos applications Java. Pour plus d'informations sur le hot patch, consultez Hotpatch pour Apache Log4j.

Pour toute question concernant le résultat de l'automatisation ou la manière de procéder à des mesures d'atténuation supplémentaires, soumettez une demande de service.