Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Ansatz zur Minderung von CVE-2021-44228
**Anmerkung**
Für Amazon-EMR-Version 6.9.0 und höher verwenden alle von Amazon EMR installierten Komponenten, die Log4j-Bibliotheken verwenden, Log4j Version 2.17.1 oder höher.
**Amazon EMR läuft auf EC2**
Das in [CVE-2021-44228](https://nvd.nist.gov/vuln/detail/CVE-2021-44228) behandelte Problem ist für Apache-Log4j-Kernversionen zwischen 2.0.0 und 2.14.1 relevant, wenn Eingaben aus nicht vertrauenswürdigen Quellen verarbeitet werden. Amazon-EMR-Cluster, die mit Amazon-EMR-5.x-Versionen bis 5.34.0 und EMR-6.x-Versionen bis Amazon EMR 6.5.0 gestartet wurden, enthalten Open-Source-Frameworks wie Apache Hive, Flink, HUDI, Presto und Trino, die diese Versionen von Apache Log4j verwenden. Viele Kunden verwenden jedoch die auf ihren Amazon-EMR-Clustern installierten Open-Source-Frameworks, um Eingaben aus nicht vertrauenswürdigen Quellen zu verarbeiten und zu protokollieren.
Wir empfehlen, dass Sie die „Lösung Amazon EMR-Bootstrap-Aktion für Log4j CVE-2021-44228“ wie im folgenden Abschnitt beschrieben anwenden. Diese Lösung befasst sich auch mit CVE-2021-45046.
**Anmerkung**
Die Bootstrap-Aktionsskripte für Amazon EMR wurden am 7. September 2022 aktualisiert und enthalten nun schrittweise Bugfixes und Verbesserungen für Oozie. Wenn Sie Oozie verwenden, sollten Sie die aktualisierte Amazon-EMR-Bootstrap-Aktionslösung anwenden, die im folgenden Abschnitt beschrieben wird.
**Amazon EMR in EKS**
Wenn Sie [Amazon EMR in EKS](https://docs.aws.amazon.com/emr/latest/EMR-on-EKS-DevelopmentGuide/emr-eks.html) mit Standardkonfiguration verwenden, sind Sie von dem in CVE-2021-44228 beschriebenen Problem nicht betroffen und Sie müssen die im Abschnitt [Amazon-EMR-Bootstrap-Aktionslösung für Log4J CVE-2021-44228 und CVE-2021-45046](#emr-log4j-vulnerability-patch-instructions) beschriebene Lösung nicht anwenden. Für Amazon EMR auf EKS verwendet die Amazon-EMR-Laufzeit für Spark Apache Log4j Version 1.2.17. Wenn Sie Amazon EMR in EKS verwenden, sollten Sie die Standardeinstellung für die `log4j.appender` Komponente nicht auf `log` ändern.
## Amazon-EMR-Bootstrap-Aktionslösung für Log4J CVE-2021-44228 und CVE-2021-45046
Diese Lösung bietet eine Amazon-EMR-Bootstrap-Aktion, die auf Ihre Amazon-EMR-Cluster angewendet werden muss. Für jede Amazon-EMR-Version finden Sie unten einen Link zu einem Bootstrap-Aktionsskript. Sie sollten die folgenden Schritte ausführen, um diese Bootstrap-Aktion anzuwenden:
1. Kopieren Sie das Skript, das Ihrer Amazon-EMR-Version entspricht, in einen lokalen S3-Bucket in Ihrem AWS-Konto. Bitte stellen Sie sicher, dass Sie ein Bootstrap-Skript verwenden, das für Ihre Amazon-EMR-Version spezifisch ist.
1. Richten Sie eine Bootstrap-Aktion für Ihre EMR-Cluster ein, um das in Ihren S3-Bucket kopierte Skript gemäß den in der [EMR-Dokumentation](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-plan-bootstrap.html) beschriebenen Anweisungen auszuführen. Wenn Sie andere Bootstrap-Aktionen für Ihre EMR-Cluster konfiguriert haben, stellen Sie sicher, dass dieses Skript als erstes Bootstrap-Aktionsskript eingerichtet ist, das ausgeführt wird.
1. Beenden Sie bestehende EMR-Cluster und starten Sie neue Cluster mit dem Bootstrap-Aktionsskript. AWS empfiehlt, dass Sie die Bootstrap-Skripte in Ihrer Testumgebung testen und Ihre Anwendungen validieren, bevor Sie sie in Ihrer Produktionsumgebung anwenden. Wenn Sie nicht die neueste Version für eine EMR-Nebenversion (z. B. 6.3.0) verwenden, müssen Sie die neueste Version (z. B. 6.3.1) verwenden und dann die oben beschriebene Lösung anwenden.
**CVE-2021-44228 & CVE-2021-45046 – Bootstrap-Skripte für Amazon-EMR-Versionen**
| Amazon-EMR-Versionsnummer | Skript-Speicherort | Datum der Veröffentlichung des Skripts |
| --- | --- | --- |
| 6.5.0 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.5.0-v2.sh
| 24. März 2022 |
| 6.4.0 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.4.0-v2.sh
| 24. März 2022 |
| 6.3.1 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.3.1-v2.sh
| 24. März 2022 |
| 6.2.1 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.2.1-v2.sh
| 24. März 2022 |
| 6.1.1 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.1.1-v2.sh
| 14. Dezember 2021 |
| 6.0.1 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-6.0.1-v2.sh
| 14. Dezember 2021 |
| 5,34,0 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.34.0-v2.sh
| 12. Dezember 2021 |
| 5,33,1 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.33.1-v2.sh
| 12. Dezember 2021 |
| 5.32,1 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.32.1-v2.sh
| 13. Dezember 2021 |
| 5.31,1 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.31.1-v2.sh
| 13. Dezember 2021 |
| 5,30,2 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.30.2-v2.sh
| 14. Dezember 2021 |
| 5.29,0 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.29.0-v2.sh
| 14. Dezember 2021 |
| 5,28,1 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.28.1-v2.sh
| 15. Dezember 2021 |
| 5,27,1 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.27.1-v2.sh
| 15. Dezember 2021 |
| 5,26,0 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.26.0-v2.sh
| 15. Dezember 2021 |
| 5,25,0 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.25.0-v2.sh
| 15. Dezember 2021 |
| 5,24,1 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.24.1-v2.sh
| 15. Dezember 2021 |
| 5.23,1 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.23.1-v2.sh
| 15. Dezember 2021 |
| 5,22,0 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.22.0-v2.sh
| 15. Dezember 2021 |
| 5,21,2 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.21.2-v2.sh
| 15. Dezember 2021 |
| 5,20,1 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.20.1-v2.sh
| 15. Dezember 2021 |
| 5.19,1 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.19.1-v2.sh
| 15. Dezember 2021 |
| 5.18.1 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.18.1-v2.sh
| 15. Dezember 2021 |
| 5.17.2 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.17.2-v2.sh
| 15. Dezember 2021 |
| 5.16.1 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.16.1-v2.sh
| 15. Dezember 2021 |
| 5.15,1 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.15.1-v2.sh
| 15. Dezember 2021 |
| 5.14.2 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.14.2-v2.sh
| 15. Dezember 2021 |
| 5.13.1 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.13.1-v2.sh
| 15. Dezember 2021 |
| 5.12.3 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.12.3-v2.sh
| 15. Dezember 2021 |
| 5.11.4 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.11.4-v2.sh
| 15. Dezember 2021 |
| 5.10.1 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.10.1-v2.sh
| 15. Dezember 2021 |
| 5.9.1 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.9.1-v2.sh
| 15. Dezember 2021 |
| 5.8.3 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.8.3-v2.sh
| 15. Dezember 2021 |
| 5.7.1 | s3://elasticmapreduce/bootstrap-actions/log4j/patch-log4j-emr-5.7.1-v2.sh
| 15. Dezember 2021 |
****
| EMR-Version | Letzte Version vom Dezember 2021 |
| --- | --- |
| 6.3.0 | 6.3.1 |
| 6.2.0 | 6.2.1 |
| 6.1.0 | 6.1.1 |
| 6.0.0 | 6.0.1 |
| 5.33,0 | 5.33,1 |
| 5,32,0 | 5,32,1 |
| 5,31,0 | 5,31,1 |
| 5.30.0 oder 5.30.1 | 5,30,2 |
| 5,28,0 | 5,28,1 |
| 5,27,0 | 5,27,1 |
| 5,24,0 | 5,24,1 |
| 5,23,0 | 5.23,1 |
| 5.21.0 oder 5.21.1 | 5.21.2 |
| 5,20,0 | 5,20,1 |
| 5.19,0 | 5.19.1 |
| 5.18.0 | 5.18.1 |
| 5.17.0 oder 5.17.1 | 5.17.2 |
| 5.16.0 | 5.16.1 |
| 5.15.0 | 5.15,1 |
| 5.14.0 oder 5.14.1 | 5.14.2 |
| 5.13.0 | 5.13.1 |
| 5.12,0, 5.12,1, 5.12,2 | 5.12.3 |
| 5.11.0, 5.11.1, 5.11.2, 5.11.3 | 5.11.4 |
| 5.9.0 | 5.9.1 |
| 5.8.0, 5.8.1, 5.8.2 | 5.8.3 |
| 5.7.0 | 5.7.1 |
## Häufig gestellte Fragen
+ **Sind EMR-Versionen, die älter als EMR 5 sind, von CVE-2021-44228 betroffen?**
Nein. EMR-Versionen vor EMR-Version 5 verwenden Log4J-Versionen, die älter als 2.0 sind.
+ **Befasst sich diese Lösung mit CVE-2021-45046?**
**Ja, diese Lösung adressiert auch CVE-2021-45046.**
+ **Unterstützt die Lösung benutzerdefinierte Anwendungen, die ich auf meinen EMR-Clustern installiere?**
Das Bootstrap-Skript aktualisiert nur JAR-Dateien, die von EMR installiert wurden. Wenn Sie benutzerdefinierte Anwendungen und JAR-Dateien auf Ihren EMR-Clustern über Bootstrap-Aktionen, als an Ihre Cluster übermittelte Schritte, mithilfe eines benutzerdefinierten Amazon-Linux-AMI oder über einen anderen Mechanismus installieren und ausführen, wenden Sie sich bitte an Ihren Anwendungsanbieter, um festzustellen, ob Ihre benutzerdefinierten Anwendungen von CVE-2021- 44228 betroffen sind, und suchen Sie nach einer geeigneten Lösung.
+ **Wie sollte ich mit [benutzerdefinierten Docker-Images](https://docs.aws.amazon.com/emr/latest/EMR-on-EKS-DevelopmentGuide/docker-custom-images.html) mit EMR in EKS umgehen?**
Wenn Sie benutzerdefinierte Anwendungen mithilfe benutzerdefinierter [Docker-Images](https://docs.aws.amazon.com/emr/latest/EMR-on-EKS-DevelopmentGuide/docker-custom-images.html) zu Amazon EMR auf EKS hinzufügen oder Jobs mit EKSwith benutzerdefinierten Anwendungsdateien an Amazon EMR senden, ermitteln Sie gemeinsam mit dem Anbieter der Anwendung, ob Ihre benutzerdefinierten Anwendungen von CVE-2021-44228 betroffen sind, und ermitteln Sie eine geeignete Lösung.
+ **Wie funktioniert das Bootstrap-Skript, um das in CVE-2021-44228 und CVE-2021-45046 beschriebene Problem zu entschärfen?**
Das Bootstrap-Skript aktualisiert die EMR-Startup-Anweisungen, indem es einen neuen Befehlssatz hinzufügt. Diese neuen Anweisungen löschen die JndiLookup Klassendateien, die über Log4j von allen von EMR installierten Open-Source-Frameworks verwendet werden. Dies folgt der [von Apache veröffentlichten Empfehlung](https://nvd.nist.gov/vuln/detail/CVE-2021-45046#vulnCurrentDescriptionTitle) zur Behebung der Log4j-Probleme.
+ **Gibt es ein Update für EMR, das Log4j-Versionen 2.17.1 oder höher verwendet?**
EMR-5-Versionen bis Version 5.34 und EMR-6-Versionen bis Version 6.5 verwenden ältere Versionen von Open-Source-Frameworks, die mit den neuesten Versionen von Log4j nicht kompatibel sind. Wenn Sie diese Versionen weiterhin verwenden, empfehlen wir Ihnen, die Bootstrap-Aktion anzuwenden, um die in der beschriebenen Probleme zu beheben. CVEs Nach EMR-5-Version 5.34 und EMR-6-Version 6.5 werden Anwendungen, die Log4j 1.x und Log4j 2.x verwenden, auf Log4j 1.2.17 (oder höher) bzw. Log4j 2.17.1 (oder höher) aktualisiert, sodass die oben genannten Bootstrap-Aktionen nicht erforderlich sind, um die CVE-Probleme zu beheben.
+ **Sind EMR-Versionen von CVE-2021-45105 betroffen?**
Die von Amazon EMR mit den Standardkonfigurationen von EMR installierten Anwendungen sind von CVE-2021-45105 nicht betroffen. Unter den von Amazon EMR installierten Anwendungen verwendet nur Apache Hive Apache Log4j mit [Kontext-Lookups](https://logging.apache.org/log4j/2.x/index.html) und verwendet kein vom Standard abweichendes Muster-Layout, sodass unangemessene Eingabedaten verarbeitet werden können.
+ **Ist Amazon EMR von einer der folgenden CVE-Offenlegungen betroffen?**
Die folgende Tabelle enthält eine Liste CVEs mit Bezug zu Log4j und gibt an, ob sich die einzelnen CVE auf Amazon EMR auswirken. Die Informationen in dieser Tabelle gelten nur, wenn Anwendungen von Amazon EMR mit den Standardkonfigurationen installiert werden.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/emr/latest/ReleaseGuide/emr-log4j-vulnerability.html)