去年公布的apache log4j漏洞促使众多云计算服务商及软件厂商加紧修补,但安全研究人员发现aws第一波的热修补不全,导致添加4项漏洞。不过在通报后,aws于本周再次修补完成。
log4j漏洞(即log4shell)公布后,aws安装了热修补程序(hot patch)一方面监控java应用程序及java容器安全,同时启动修补。这些修补方案涵盖独立服务器、kubernetes集群、ecs(elastic container service)集群及无服务器运算引擎fargate等。这个方案不只用于aws环境,也可以安装在其他云计算和本地部署环境。
但palo alto networks安全研究人员发现,aws安装的这个hotpatch及相关aws自有容器linux发行版bottlerocket的oci hooks(名为hotdog)有数项漏洞,其中cve-2021-3100、cve-2021-3101较早出现。cve-2021-3100影响hotpatch for apache log4j 1.1-12版本以前的权限升级漏洞,让没有特权许可的行程扩展其权限,并以根许可执行程序代码。cve-2021-3101则影响hotdog v1.0.1版本以前的容器逃逸(container escape),使同一个环境,包括服务器或kubernete集群上所有容器的恶意程序可接管底层主机。这些漏洞允许容器逃逸,不论容器是否执行java应用程序,或是底层是否为aws bottlerocket。另外,以用户命名空间或以非根权限用户执行的容器也会受到影响。
但hotpatch for apache log4j 1.1-12及hotdog v1.0.1并未能修补成功,因而衍生出cve-2022-0070和cve-2022-0071。
美国nist漏洞数据库没有给予这四项漏洞风险值,不过palo alto将4项漏洞风险分别评为8.8。
aws接获通报后,于本周稍早针对amazon linux、amazon linux 2发布了新版hotpatch for apache log4j(version 1.1-16)及新版hotdog(version 1.02),建议容器内执行java应用程序,以及使用具有hotpatch的bottlerocket用户应立即升级到最新版。
aws表示,新版hotpatch需要升级到最新linux核心,用户不应略过任何核心更新。同样的,新版hotdog也需bottlerocket升级到最新版。