Usa il documento SSM Log4j per scoprire le occorrenze in Accelerate - Guida utente di AMS Accelerate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Usa il documento SSM Log4j per scoprire le occorrenze in Accelerate

Il documento Log4j ( AWS Systems Manager documento SSM) consente di cercare la libreria Apache Log4j2 all'interno dei carichi di lavoro inseriti. Il documento di automazione fornisce un rapporto sull'ID di processo delle applicazioni Java in cui è attiva la libreria Log4j2.

Il rapporto include informazioni sugli archivi Java (file JAR), che si trovano all'interno dell'ambiente specificato che contiene la classe. JndiLookup È consigliabile aggiornare le librerie scoperte all'ultima versione disponibile. Questo aggiornamento mitiga la Remote Code Execution (RCE) identificata tramite CVE-2021-44228. Scarica l'ultima versione della libreria Log4j da Apache. Per ulteriori informazioni, consulta Scaricare Apache Log4j 2.

Il documento è condiviso con tutte le regioni che hanno aderito ad Accelerate,. Per accedere al documento, completa i seguenti passaggi:

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Documenti.

  3. Scegli Condiviso con me.

  4. Nella casella di ricerca, inserisci AWSManagedServices-GatherLog4jInformation.

  5. Usa il controllo della velocità per eseguire il documento su larga scala.

Il documento AWSManagedServices-GatherLog 4JInformation raccoglie i seguenti parametri:

  • InstanceId: (Obbligatorio) ID dell'istanza. EC2

  • S3Bucket: (Facoltativo) L'URL prefirmato S3 o l'URI S3 (s3://BUCKET_NAME) su cui caricare i risultati.

  • AutomationAssumeRole: (Obbligatorio) L'ARN del ruolo che consente all'automazione di eseguire azioni per tuo conto.

È consigliabile eseguire questo documento utilizzando il controllo della frequenza. È possibile impostare il parametro di controllo della InstanceIdvelocità su e assegnargli un elenco di istanze oppure applicare una combinazione tag-chiave per individuare tutte le EC2 istanze che hanno un determinato tag. AWS Managed Services consiglia inoltre di fornire un bucket Amazon Simple Storage Service (Amazon S3) su cui caricare i risultati, in modo da poter creare un report dai dati archiviati in S3. Per un esempio di come aggregare i risultati in S3, consulta EC2 Instance Stack | Gather Log4j Information.

Se non riesci ad aggiornare il pacchetto, segui le linee guida delineate da AWS Sicurezza in Utilizzare AWS i servizi di sicurezza per proteggere, rilevare e rispondere alla vulnerabilità di Log4j. Per mitigare le vulnerabilità rimuovendo la funzionalità della JndiLookup classe, esegui l'hot patch Log4j in linea con le tue applicazioni Java. Per ulteriori informazioni sull'hot patch, consulta Hotpatch for Apache Log4j.

Per domande sull'output dell'automazione o su come procedere con ulteriori mitigazioni, invia una richiesta di assistenza.