Use o documento Log4j SSM para descobrir ocorrências no Accelerate - Guia do usuário do AMS Accelerate

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Use o documento Log4j SSM para descobrir ocorrências no Accelerate

O documento Log4j ( AWS Systems Manager documento SSM) ajuda você a pesquisar a biblioteca Apache Log4j2 nas cargas de trabalho ingeridas. O documento de automação fornece um relatório do ID do processo dos aplicativos Java nos quais a biblioteca Log4j2 está ativa.

O relatório inclui informações sobre os arquivos Java (arquivos JAR), encontrados no ambiente especificado que contém a JndiLookup classe. É uma prática recomendada atualizar as bibliotecas descobertas para a versão mais recente disponível. Essa atualização atenua a Execução Remota de Código (RCE) identificada por meio do CVE-2021-44228. Baixe a versão mais recente da biblioteca Log4j do Apache. Para obter mais informações, consulte Baixar o Apache Log4j 2.

O documento é compartilhado com todas as regiões integradas ao Accelerate,. Para acessar o documento, conclua as seguintes etapas:

  1. Abra o AWS Systems Manager console em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, escolha Documents.

  3. Escolha Compartilhado comigo.

  4. Na caixa de pesquisa, insira AWSManagedServices-GatherLog4jInformation.

  5. Use o controle de taxa para executar o documento em grande escala.

O documento AWSManagedServices-GatherLog 4JInformation reúne os seguintes parâmetros:

  • InstanceId: (Obrigatório) ID da sua EC2 instância.

  • S3Bucket: (Opcional) O URL pré-assinado do S3 ou o URI do S3 (s3://BUCKET_NAME) para o qual carregar os resultados.

  • AutomationAssumeRole: (Obrigatório) O ARN da função que permite que a automação execute ações em seu nome.

É uma prática recomendada executar este documento usando o controle de taxa. Você pode definir o parâmetro de controle de taxa como o. InstanceIde atribuir uma lista de instâncias a ele ou aplicar uma combinação de tag-chave para atingir todas as EC2 instâncias que têm uma determinada tag. O AWS Managed Services também recomenda que você forneça um bucket do Amazon Simple Storage Service (Amazon S3) para fazer o upload dos resultados, para que você possa criar um relatório a partir dos dados armazenados no S3. Para ver um exemplo de como agregar os resultados no S3, consulte EC2 Instance Stack | Gather Log4j Information.

Se você não conseguir atualizar o pacote, siga as diretrizes descritas em AWS Segurança em Usando serviços de AWS segurança para proteger, detectar e responder à vulnerabilidade do Log4j. Para mitigar vulnerabilidades removendo a funcionalidade da JndiLookup classe, execute o hot patch Log4j em linha com seus aplicativos Java. Para obter mais informações sobre o hot patch, consulte Hotpatch para Apache Log4j.

Em caso de dúvidas sobre o resultado da automação ou sobre como proceder com mitigações adicionais, envie uma solicitação de serviço.