CVE-2023-31419 es 漏洞除了升级版本还有其他解决方式吗?

159 天前
 mirrornighth
1931 次点击
所在节点    Elasticsearch
5 条回复
retanoj
159 天前
影响是通过 _search API 传入一些特殊构造过的参数导致的 DoS

如果业务场景是有用到这 API 的话,还是升级吧
Mithril
159 天前
不想升级那就只能控制传入的请求了,比如你限定 search 请求只能由你的 app 发起,app 里不会传入由用户构造的内容。或者你是用 high level api client 直接构造的请求,那大概率是不会有问题的。

当然该升级还是要升的
mirrornighth
159 天前
@Mithril search 请求是由 app 发起的,想从代码层面规避这个问题,过滤屏蔽这些特殊查询字符,但不知道这个特殊查询字符具体是指什么:<
Mithril
159 天前
@mirrornighth
https://github.com/sqrtZeroKnowledge/Elasticsearch-Exploit-CVE-2023-31419

照着 POC 看一下就知道了。如果你限定了只能从 App 发起请求,拒接了其他地方的请求,那大概率没啥问题的。
mirrornighth
158 天前
@Mithril 这个我看了,感谢🙏

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1053100

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX