去年公布的Apache Log4j漏洞促使众多云计算服务商及软件厂商加紧修补,但安全研究人员发现AWS第一波的热修补不全,导致添加4项漏洞。不过在通报后,AWS于本周再次修补完成。
Log4j漏洞(即Log4Shell)公布后,AWS安装了热修补程序(hot patch)一方面监控Java应用程序及Java容器安全,同时启动修补。这些修补方案涵盖独立服务器、Kubernetes集群、ECS(Elastic Container Service)集群及无服务器运算引擎Fargate等。这个方案不只用于AWS环境,也可以安装在其他云计算和本地部署环境。
但Palo Alto Networks安全研究人员发现,AWS安装的这个hotpatch及相关AWS自有容器Linux发行版Bottlerocket的OCI hooks(名为Hotdog)有数项漏洞,其中CVE-2021-3100、CVE-2021-3101较早出现。CVE-2021-3100影响hotpatch for Apache Log4j 1.1-12版本以前的权限升级漏洞,让没有特权许可的行程扩展其权限,并以根许可执行程序代码。CVE-2021-3101则影响Hotdog v1.0.1版本以前的容器逃逸(container escape),使同一个环境,包括服务器或Kubernete集群上所有容器的恶意程序可接管底层主机。这些漏洞允许容器逃逸,不论容器是否执行Java应用程序,或是底层是否为AWS Bottlerocket。另外,以用户命名空间或以非根权限用户执行的容器也会受到影响。
但hotpatch for Apache Log4j 1.1-12及Hotdog v1.0.1并未能修补成功,因而衍生出CVE-2022-0070和CVE-2022-0071。
美国NIST漏洞数据库没有给予这四项漏洞风险值,不过Palo Alto将4项漏洞风险分别评为8.8。
AWS接获通报后,于本周稍早针对Amazon Linux、Amazon Linux 2发布了新版hotpatch for Apache Log4j(Version 1.1-16)及新版Hotdog(Version 1.02),建议容器内执行Java应用程序,以及使用具有hotpatch的Bottlerocket用户应立即升级到最新版。
AWS表示,新版Hotpatch需要升级到最新Linux核心,用户不应略过任何核心更新。同样的,新版Hotdog也需Bottlerocket升级到最新版。
