去年公布的Apache Log4j漏洞促使眾多云端服務(wù)商及軟件廠商加緊修補(bǔ)，但安全研究人員發(fā)現(xiàn)AWS第一波的熱修補(bǔ)不全，導(dǎo)致新增4項(xiàng)漏洞。不過在通報(bào)后，AWS于本周再次修補(bǔ)完成。

　　Log4j漏洞（即Log4Shell）公布后，AWS 安裝了熱修補(bǔ)程式（hot patch）一方面監(jiān)控Java應(yīng)用程式及Java 容器安全，同時(shí)啟動(dòng)修補(bǔ)。這些修補(bǔ)方案涵括獨(dú)立服務(wù)器、Kubernetes叢集、ECS（Elastic Container Service）叢集及無服務(wù)器運(yùn)算引擎Fargate等。這個(gè)方案不只用于AWS環(huán)境，也可以安裝在其他云端和本地部署環(huán)境。

　　但Palo Alto Networks安全研究人員發(fā)現(xiàn)，AWS安裝的這個(gè)hotpatch及相關(guān)AWS 自有容器Linux發(fā)行版Bottlerocket的OCI hooks（名為Hotdog）有數(shù)項(xiàng)漏洞，其中CVE-2021-3100、CVE-2021-3101較早出現(xiàn)。CVE-2021-3100影響hotpatch for Apache Log4j 1.1-12版本以前的權(quán)限升級漏洞，讓沒有特權(quán)許可的行程擴(kuò)充其權(quán)限，并以根許可執(zhí)行程式碼。CVE-2021-3101則影響Hotdog v1.0.1版本以前的容器逃逸（container escape），使同一個(gè)環(huán)境，包括服務(wù)器或Kubernete叢集上所有容器的惡意程式可接管底層主機(jī)。這些漏洞允許容器逃逸，不論容器是否執(zhí)行Java應(yīng)用程式，或是底層是否為AWS Bottlerocket。另外，以使用者命名空間或以非根權(quán)限使用者執(zhí)行的容器也會(huì)受到影響。

　　但hotpatch for Apache Log4j 1.1-12及Hotdog v1.0.1并未能修補(bǔ)成功，因而衍生出CVE-2022-0070和CVE-2022-0071。

　　美國NIST漏洞資料庫沒有給予這四項(xiàng)漏洞風(fēng)險(xiǎn)值，不過Palo Alto將4項(xiàng)漏洞風(fēng)險(xiǎn)分別評為8.8。

　　AWS接獲通報(bào)后，于本周稍早針對Amazon Linux、Amazon Linux 2推出了新版hotpatch for Apache Log4j（Version 1.1-16）及新版Hotdog（Version 1.02），建議容器內(nèi)執(zhí)行Java應(yīng)用程式，以及使用具有hotpatch 的Bottlerocket用戶應(yīng)立即升級到最新版。

　　AWS表示，新版Hotpatch需要升級到最新Linux核心，用戶不應(yīng)略過任何核心更新。同樣的，新版Hotdog也需Bottlerocket升級到最新版。