关于 log4j2 的远程代码执行漏洞对 ELK 的影响

2021-12-15 06:10:00 +08:00
 Livid
来自官方的说法:

https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
5318 次点击
所在节点    Elasticsearch
15 条回复
HackerJax
2021-12-15 07:22:20 +08:00
es 如果只在内网可访问,那应该影响不大吧
Livid
2021-12-15 07:47:09 +08:00
@HackerJax 如果跑 ES 的机器无法访问外网,那是不会有远程代码执行的问题。
Cbdy
2021-12-15 08:42:26 +08:00
换高版本 jdk 解君愁
cco
2021-12-15 08:53:52 +08:00
@Cbdy 目前用的 ES 自带的 jdk14 ,应用用 jdk11 。应该没影响吧
plko345
2021-12-15 09:17:29 +08:00
@Livid 无法访问外网才安全吗?无法从外网访问可以吗?
imherer
2021-12-15 09:31:46 +08:00
@plko345 肯定是无法从外网访问是最安全的嘛,即不要把装有 ES 的机器暴露在公网上
Cbdy
2021-12-15 09:34:34 +08:00
@cco 那没事 jdk11 以上够了
Cbdy
2021-12-15 09:40:48 +08:00
@cco
https://mobile.twitter.com/marcioalm/status/1470361495405875200
还是升级一下吧,好像都可能受影响
ho121
2021-12-15 09:49:23 +08:00
就算 ES 本身没有外网,难道不怕其他有外网的服务被攻破、拿到内网的权限,进而影响到内网的 ES
jiezhi
2021-12-15 09:56:43 +08:00
既然是 log 组件的漏洞,确保调用该组件 log 的信息里没有爆破代码才行吧。

比如我在这里输入了爆破信息(发出来就不能回帖。。) ,如果有分析这个帖子的 Java 组件里把我这条回复通过 log4j 输出了,那应该也是存在风险的吧。

个人推测。


---
当我回复里存在注入信息会被防住😁



jiezhi
2021-12-15 09:59:05 +08:00
@plko345 #5 无法外网访问也要注意从其他地方流过来的数据里带注入脚本。
zanxj
2021-12-15 10:14:29 +08:00
看了半天也没看出有说明影响哪些版本的 ELK
ThirdFlame
2021-12-15 10:17:39 +08:00
无法被外网访问的系统,其处理的数据流中仍然有可能有“恶意代码”。

无法访问外网的系统,不代表不能被攻击(例如通过 dns 请求,携带部分信息通过 dns 查询携出)。
janxin
2021-12-15 11:08:22 +08:00
@Livid 无法进行外部访问受影响攻击面不像可以访问外部网络被攻击这么直接,但是可以做为 APT 的一个内网攻击面存在。

能修就修吧
v2000000001ex
2021-12-15 18:10:33 +08:00
docker 版如何修复

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/822263

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX