-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in AWS patch-oplossingen
Advisory ID : NCSC-2022-0275
Versie : 1.00
Kans : medium
CVE ID : CVE-2021-3100, CVE-2021-3101, CVE-2022-0070,
CVE-2022-0071
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
(Remote) code execution (Administrator/Root rechten)
Uitgiftedatum : 20220420
Toepassing : AWS
Amazon Kubernetes on AWS
Versie(s) :
Platform(s) :
Beschrijving
Er zijn kwetsbaarheden verholpen in verschillende AWS
patch-oplossingen. Deze patch-oplossingen zijn door AWS uitgebracht
om te monitoren op Java-applicaties die kwetsbaar zijn voor
Log4Shell en deze systemen direct te patchen. AWS heeft drie
hotpatches uitgebracht.
* Een hotpatch in de vorm van Debian of RPM packages die standaard
is geinstalleerd met Amazon Linux JDK packages.
* Een hotpatch voor Kubernetes clusters en Elastic Container
Services.
* Hotdog, een hotpatch voor Bottlerocket hosts.
Deze oplossingen van AWS kunnen gebruikt worden op iedere cloud- of
on-premise-omgeving.
De kwetsbaarheden in deze oplossingen stellen een kwaadwillende in
staat om vanuit een container toegang te verkrijgen tot het
onderliggende hostsysteem. De patch-oplossing dient dan in gebruik
te zijn op de server of cluster waar de container op draait.
Beveiligingsonderzoekers van Unit 42 van Palo Alto heeft de
kwetsbaarheden ontdekt.
Mogelijke oplossingen
AWS heeft updates uitgebracht om de kwetsbaarheden te verhelpen. De
kwetsbaarheden zijn beschikbaar voor de volgende oplossingen:
* log4j-cve-2021-44228-hotpatch versie 1.1-14
* kubernetes-log4j-cve-2021-44228-node-agent versie 1.1-14
* Hotdog
De kwetsbaarheid in log4j-cve-2021-44228-hotpatch kan worden
verholpen met behulp van het commando 'yum' of 'apt'. Let hierbij op
dat sinds 17 december 2021 JDK-packages op Amazon Linux automatisch
log4j-cve-2021-44228-hotpatch hebben geinstalleerd. Voor de andere
twee kwetsbare oplossingen dient een update te worden gedownload om
deze vervolgens handmatig te installeren. Voor meer informatie, zie:
Kubernetes:
https://github.com/aws-samples
/kubernetes-log4j-cve-2021-44228-node-agent
Hotdog:
https://github.com/bottlerocket-os/hotdog/releases
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8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=bF1J
-----END PGP SIGNATURE-----
