ElasticsearchLog4j漏洞快速修复步骤Elasticsearch Log4j漏洞快速修复步骤
原创2021-12-14 21:27·
⼀、Elasticsearch关于Log4j2漏洞的官⽅说明
可以参考如下链接
/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
摘要:2021年12⽉9⽇,Log4j的GitHub公开披露了⼀个影响Apache Log4j2多个版本的⾼严重性漏洞 (CVE-2021-44228) 该漏洞影响了Apache Log4j2的2.0到2.14.1版本。
Github地址:/log4j/2.x/
本公告总结了对 Elastic 产品的任何潜在影响以及缓解问题的相关公告。Elastic 官⽅⼯程和安全团队继续积极开展分析和(探讨)我们的⽤户应执⾏的任何操作,同时识别可⽤于识别漏洞潜在利⽤的检测签名。
Elasticsearch 公告 (ESA-2021-31) Log4j 是包括 Elasticsearch在内的⽆数Java应⽤程序使⽤的标准⽇志记录库。由于我们使⽤了Java安全管理器,Elasticsearch不易受此漏洞的远程代码执⾏影响,但是很快我们将提供Elasticsearch 6.8.21和7.16.1,这将删除易受攻击的Log4j组件并设置下⾯标识的JVM选项。
1、 Elasticsearch 受影响的版本
Elasticsearch 5.0.0+ 版本包含⼀个易受攻击的 Log4j 版本,以及缓解攻击的安全管理器(Security Manager)。
2、 Elasticsearch 解决⽅案和缓解措施
⽅案⼀:⽤户可在 Elasticsearch 6.8.22 或 7.16.1 发布后升级
⽅案⼆:设置 JVM 选项
-Dlog4j2.formatMsgNoLookups=true
⼆、ElasticSearch安全更新版本已发布
2021.12.14 ElasticSearch官⽅已经发布漏洞修复版本7.16.1 6.8.21版本
(图⽚可点击放⼤查看)
⽤户可以升级到Elasticsearch 7.16.1 69或6.8.21 , 于2021年12⽉13⽇发布。
这些版本没有升级 Log4j 包,⽽是通过设置JVM 选项来缓解漏洞 -Dlog4j2.formatMsgNoLookups=true 并从 Log4j 包中删除易受攻击的 JndiLookup 类。
三、ElasticSearch安全版本升级步骤
1、确认当前ElasticSearch版本
rpm -aq | grep elasticsearch
2、下载最新elasticsearch安全版本7.16.1
腾讯云镜像站
t/elasticstack/7.x/yum/7.16.1/elasticsearch-7.16.1-x86_64.rpm
(图⽚可点击放⼤查看)
3、上传并安装
rpm -Uvh elasticsearch-7.16.1-x86_64.rpm
4、重启elasticsearch服务
systemctl daemon-reload
systemctl restart elasticsearch.service
ps -ef | grep log4j2.formatMsgNoLookups=true
四、Elasticsearch Log4j缓解措施
所使⽤Elasticsearch的版本6.X 5.X 7.X均有,不便于升级的话,可以使⽤缓解措施以RPM安装的Elasticsearch 6.8.8版本为例
1、切换到配置⽬录下
cd /etc/elasticsearch
2、vim jvm.options 在配置⽂件中加⼊如下⼀⾏
vim jvm.options
#加⼊如下⾏
apachelog4j2漏洞-Dlog4j2.formatMsgNoLookups=true
3、然后重启elasticsearch服务⽣效
systemctl restart elasticsearch.service ;log4j2.formatMsgNoLookups=true 参数确认