去年公布的Apache Log4j漏洞促使眾多云端服務(wù)商及軟件廠商加緊修補，但安全研究人員發(fā)現(xiàn)AWS第一波的熱修補不全，導(dǎo)致新增4項漏洞。不過在通報后，AWS于本周再次修補完成。

　　Log4j漏洞（即Log4Shell）公布后，AWS 安裝了熱修補程式（hot patch）一方面監(jiān)控Java應(yīng)用程式及Java 容器安全，同時啟動修補。這些修補方案涵括獨立服務(wù)器、Kubernetes叢集、ECS（Elastic Container Service）叢集及無服務(wù)器運算引擎Fargate等。這個方案不只用于AWS環(huán)境，也可以安裝在其他云端和本地部署環(huán)境。

　　但Palo Alto Networks安全研究人員發(fā)現(xiàn)，AWS安裝的這個hotpatch及相關(guān)AWS 自有容器Linux發(fā)行版Bottlerocket的OCI hooks（名為Hotdog）有數(shù)項漏洞，其中CVE-2021-3100、CVE-2021-3101較早出現(xiàn)。CVE-2021-3100影響hotpatch for Apache Log4j 1.1-12版本以前的權(quán)限升級漏洞，讓沒有特權(quán)許可的行程擴充其權(quán)限，并以根許可執(zhí)行程式碼。CVE-2021-3101則影響Hotdog v1.0.1版本以前的容器逃逸（container escape），使同一個環(huán)境，包括服務(wù)器或Kubernete叢集上所有容器的惡意程式可接管底層主機。這些漏洞允許容器逃逸，不論容器是否執(zhí)行Java應(yīng)用程式，或是底層是否為AWS Bottlerocket。另外，以使用者命名空間或以非根權(quán)限使用者執(zhí)行的容器也會受到影響。

　　但hotpatch for Apache Log4j 1.1-12及Hotdog v1.0.1并未能修補成功，因而衍生出CVE-2022-0070和CVE-2022-0071。

　　美國NIST漏洞資料庫沒有給予這四項漏洞風(fēng)險值，不過Palo Alto將4項漏洞風(fēng)險分別評為8.8。

　　AWS接獲通報后，于本周稍早針對Amazon Linux、Amazon Linux 2推出了新版hotpatch for Apache Log4j（Version 1.1-16）及新版Hotdog（Version 1.02），建議容器內(nèi)執(zhí)行Java應(yīng)用程式，以及使用具有hotpatch 的Bottlerocket用戶應(yīng)立即升級到最新版。

　　AWS表示，新版Hotpatch需要升級到最新Linux核心，用戶不應(yīng)略過任何核心更新。同樣的，新版Hotdog也需Bottlerocket升級到最新版。