去年公布的Apache Log4j漏洞促使眾多云端服務(wù)商及軟件廠(chǎng)商加緊修補，但安全研究人員發(fā)現AWS第一波的熱修補不全，導致新增4項漏洞。不過(guò)在通報后，AWS于本周再次修補完成。

　　Log4j漏洞（即Log4Shell）公布后，AWS 安裝了熱修補程式（hot patch）一方面監控Java應用程式及Java 容器安全，同時(shí)啟動(dòng)修補。這些修補方案涵括獨立服務(wù)器、Kubernetes叢集、ECS（Elastic Container Service）叢集及無(wú)服務(wù)器運算引擎Fargate等。這個(gè)方案不只用于A(yíng)WS環(huán)境，也可以安裝在其他云端和本地部署環(huán)境。

　　但Palo Alto Networks安全研究人員發(fā)現，AWS安裝的這個(gè)hotpatch及相關(guān)AWS 自有容器Linux發(fā)行版Bottlerocket的OCI hooks（名為Hotdog）有數項漏洞，其中CVE-2021-3100、CVE-2021-3101較早出現。CVE-2021-3100影響hotpatch for Apache Log4j 1.1-12版本以前的權限升級漏洞，讓沒(méi)有特權許可的行程擴充其權限，并以根許可執行程式碼。CVE-2021-3101則影響Hotdog v1.0.1版本以前的容器逃逸（container escape），使同一個(gè)環(huán)境，包括服務(wù)器或Kubernete叢集上所有容器的惡意程式可接管底層主機。這些漏洞允許容器逃逸，不論容器是否執行Java應用程式，或是底層是否為AWS Bottlerocket。另外，以使用者命名空間或以非根權限使用者執行的容器也會(huì )受到影響。

　　但hotpatch for Apache Log4j 1.1-12及Hotdog v1.0.1并未能修補成功，因而衍生出CVE-2022-0070和CVE-2022-0071。

　　美國NIST漏洞資料庫沒(méi)有給予這四項漏洞風(fēng)險值，不過(guò)Palo Alto將4項漏洞風(fēng)險分別評為8.8。

　　AWS接獲通報后，于本周稍早針對Amazon Linux、Amazon Linux 2推出了新版hotpatch for Apache Log4j（Version 1.1-16）及新版Hotdog（Version 1.02），建議容器內執行Java應用程式，以及使用具有hotpatch 的Bottlerocket用戶(hù)應立即升級到最新版。

　　AWS表示，新版Hotpatch需要升級到最新Linux核心，用戶(hù)不應略過(guò)任何核心更新。同樣的，新版Hotdog也需Bottlerocket升級到最新版。