去年公布的Apache Log4j漏洞促使众多云端服务商及软件厂商加紧修补，但安全研究人员发现AWS第一波的热修补不全，导致新增4项漏洞。不过在通报后，AWS于本周再次修补完成。

　　Log4j漏洞（即Log4Shell）公布后，AWS 安装了热修补程式（hot patch）一方面监控Java应用程式及Java 容器安全，同时启动修补。这些修补方案涵括独立服务器、Kubernetes丛集、ECS（Elastic Container Service）丛集及无服务器运算引擎Fargate等。这个方案不只用于AWS环境，也可以安装在其他云端和本地部署环境。

　　但Palo Alto Networks安全研究人员发现，AWS安装的这个hotpatch及相关AWS 自有容器Linux发行版Bottlerocket的OCI hooks（名为Hotdog）有数项漏洞，其中CVE-2021-3100、CVE-2021-3101较早出现。CVE-2021-3100影响hotpatch for Apache Log4j 1.1-12版本以前的权限升级漏洞，让没有特权许可的行程扩充其权限，并以根许可执行程式码。CVE-2021-3101则影响Hotdog v1.0.1版本以前的容器逃逸（container escape），使同一个环境，包括服务器或Kubernete丛集上所有容器的恶意程式可接管底层主机。这些漏洞允许容器逃逸，不论容器是否执行Java应用程式，或是底层是否为AWS Bottlerocket。另外，以使用者命名空间或以非根权限使用者执行的容器也会受到影响。

　　但hotpatch for Apache Log4j 1.1-12及Hotdog v1.0.1并未能修补成功，因而衍生出CVE-2022-0070和CVE-2022-0071。

　　美国NIST漏洞资料库没有给予这四项漏洞风险值，不过Palo Alto将4项漏洞风险分别评为8.8。

　　AWS接获通报后，于本周稍早针对Amazon Linux、Amazon Linux 2推出了新版hotpatch for Apache Log4j（Version 1.1-16）及新版Hotdog（Version 1.02），建议容器内执行Java应用程式，以及使用具有hotpatch 的Bottlerocket用户应立即升级到最新版。

　　AWS表示，新版Hotpatch需要升级到最新Linux核心，用户不应略过任何核心更新。同样的，新版Hotdog也需Bottlerocket升级到最新版。