关于 log4j2 的远程代码执行漏洞对 ELK 的影响

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Elasticsearch 参考文档

Elasticsearch: The Definitive Guide

elasticseaerch-analysis-ik

这是一个创建于 1464 天前的主题，其中的信息可能已经有所发展或是发生改变。

来自官方的说法：

https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476

elk

log4j2

漏洞

代码

15 条回复 2021-12-15 18:10:33 +08:00

HackerJax

2021-12-15 07:22:20 +08:00 via iPhone

es 如果只在内网可访问，那应该影响不大吧

Livid

MOD

PRO

2021-12-15 07:47:09 +08:00

@HackerJax 如果跑 ES 的机器无法访问外网，那是不会有远程代码执行的问题。

nbsp; 3

Cbdy

2021-12-15 08:42:26 +08:00 via Android

换高版本 jdk 解君愁

cco

2021-12-15 08:53:52 +08:00

@Cbdy 目前用的 ES 自带的 jdk14 ，应用用 jdk11 。应该没影响吧

plko345

2021-12-15 09:17:29 +08:00 via Android

@Livid 无法访问外网才安全吗？无法从外网访问可以吗？

imherer

2021-12-15 09:31:46 +08:00

@plko345 肯定是无法从外网访问是最安全的嘛，即不要把装有 ES 的机器暴露在公网上

Cbdy

2021-12-15 09:34:34 +08:00 via Android

@cco 那没事 jdk11 以上够了

Cbdy

2021-12-15 09:40:48 +08:00 via Android

@cco
https://mobile.twitter.com/marcioalm/status/1470361495405875200
还是升级一下吧，好像都可能受影响

ho121

2021-12-15 09:49:23 +08:00

就算 ES 本身没有外网，难道不怕其他有外网的服务被攻破、拿到内网的权限，进而影响到内网的 ES

jiezhi

2021-12-15 09:56:43 +08:00

既然是 log 组件的漏洞，确保调用该组件 log 的信息里没有爆破代码才行吧。

比如我在这里输入了爆破信息（发出来就不能回帖。。），如果有分析这个帖子的 Java 组件里把我这条回复通过 log4j 输出了，那应该也是存在风险的吧。

个人推测。

---
当我回复里存在注入信息会被防住

jiezhi

2021-12-15 09:59:05 +08:00

@plko345 #5 无法外网访问也要注意从其他地方流过来的数据里带注入脚本。

zanxj

2021-12-15 10:14:29 +08:00

看了半天也没看出有说明影响哪些版本的 ELK

ThirdFlame

2021-12-15 10:17:39 +08:00

无法被外网访问的系统，其处理的数据流中仍然有可能有“恶意代码”。

无法访问外网的系统，不代表不能被攻击(例如通过 dns 请求，携带部分信息通过 dns 查询携出)。

janxin

2021-12-15 11:08:22 +08:00

@Livid 无法进行外部访问受影响攻击面不像可以访问外部网络被攻击这么直接，但是可以做为 APT 的一个内网攻击面存在。

能修就修吧

v2000000001ex

2021-12-15 18:10:33 +08:00

docker 版如何修复