-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in AWS patch-oplossingen Advisory ID : NCSC-2022-0275 Versie : 1.00 Kans : medium CVE ID : CVE-2021-3100, CVE-2021-3101, CVE-2022-0070, CVE-2022-0071 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high (Remote) code execution (Administrator/Root rechten) Uitgiftedatum : 20220420 Toepassing : AWS Amazon Kubernetes on AWS Versie(s) : Platform(s) : Beschrijving Er zijn kwetsbaarheden verholpen in verschillende AWS patch-oplossingen. Deze patch-oplossingen zijn door AWS uitgebracht om te monitoren op Java-applicaties die kwetsbaar zijn voor Log4Shell en deze systemen direct te patchen. AWS heeft drie hotpatches uitgebracht. * Een hotpatch in de vorm van Debian of RPM packages die standaard is geinstalleerd met Amazon Linux JDK packages. * Een hotpatch voor Kubernetes clusters en Elastic Container Services. * Hotdog, een hotpatch voor Bottlerocket hosts. Deze oplossingen van AWS kunnen gebruikt worden op iedere cloud- of on-premise-omgeving. De kwetsbaarheden in deze oplossingen stellen een kwaadwillende in staat om vanuit een container toegang te verkrijgen tot het onderliggende hostsysteem. De patch-oplossing dient dan in gebruik te zijn op de server of cluster waar de container op draait. Beveiligingsonderzoekers van Unit 42 van Palo Alto heeft de kwetsbaarheden ontdekt. Mogelijke oplossingen AWS heeft updates uitgebracht om de kwetsbaarheden te verhelpen. De kwetsbaarheden zijn beschikbaar voor de volgende oplossingen: * log4j-cve-2021-44228-hotpatch versie 1.1-14 * kubernetes-log4j-cve-2021-44228-node-agent versie 1.1-14 * Hotdog De kwetsbaarheid in log4j-cve-2021-44228-hotpatch kan worden verholpen met behulp van het commando 'yum' of 'apt'. Let hierbij op dat sinds 17 december 2021 JDK-packages op Amazon Linux automatisch log4j-cve-2021-44228-hotpatch hebben geinstalleerd. Voor de andere twee kwetsbare oplossingen dient een update te worden gedownload om deze vervolgens handmatig te installeren. Voor meer informatie, zie: Kubernetes: https://github.com/aws-samples /kubernetes-log4j-cve-2021-44228-node-agent Hotdog: https://github.com/bottlerocket-os/hotdog/releases Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBYl+p2RypWqw/ZiuAAQo1pgv9EFZcHGvVxUeaaDewqXXLrLyzFORvx8gQ ncn+B8tcFwRJ45zOMORfykKvJq8RAflsR6wAT5acSodzC3EftQP01hCklwLmFUgY h2Gf/jczM3rwA2ZESPIlqwMA5V5LWoIFfSdJrNJeJtfcjFlgctg92kR2IxGZiwwP 7sg01wWeZalAuRqc//GJLKzYzYhKFJ03Zm62xL1eDejiktELHyEz1gwS5/EuG7JD BdCw0aExp46Ps2GKIOOOBpmBpU5FJujTrZu1eDXRcE87ZWm4OU3lnYfziRGbtxPE 2MnXHXpMfenpQU7L6onNL+zs1q6lxRBpt4YzZKUHeZ9atCoM63JRh13m3mRirN6H YibH0OIwP6ZF3ImGBSgwzeGbVTbgDSHFPBkO++PL/CQyIezh15GDZOMiLvdKkO7R /2k18fHU0IqIzUHviYY9RRCwFoq0G4OIYEskb0JAccHttHPgQQzKJHL3rhuioCfU LOe6lip6ksKQLZpgYuV49pGuQs8nx8I0 =bF1J -----END PGP SIGNATURE-----