V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Livid
V2EX  ›  Elasticsearch

关于 log4j2 的远程代码执行漏洞对 ELK 的影响

  •  
  •   Livid · 2021-12-15 06:10:00 +08:00 · 5324 次点击
    这是一个创建于 1110 天前的主题,其中的信息可能已经有所发展或是发生改变。
    15 条回复    2021-12-15 18:10:33 +08:00
    HackerJax
        1
    HackerJax  
       2021-12-15 07:22:20 +08:00 via iPhone
    es 如果只在内网可访问,那应该影响不大吧
    Livid
        2
    Livid  
    MOD
    OP
       2021-12-15 07:47:09 +08:00
    @HackerJax 如果跑 ES 的机器无法访问外网,那是不会有远程代码执行的问题。
    Cbdy
        3
    Cbdy  
       2021-12-15 08:42:26 +08:00 via Android
    换高版本 jdk 解君愁
    cco
        4
    cco  
       2021-12-15 08:53:52 +08:00
    @Cbdy 目前用的 ES 自带的 jdk14 ,应用用 jdk11 。应该没影响吧
    plko345
        5
    plko345  
       2021-12-15 09:17:29 +08:00 via Android
    @Livid 无法访问外网才安全吗?无法从外网访问可以吗?
    imherer
        6
    imherer  
       2021-12-15 09:31:46 +08:00
    @plko345 肯定是无法从外网访问是最安全的嘛,即不要把装有 ES 的机器暴露在公网上
    Cbdy
        7
    Cbdy  
       2021-12-15 09:34:34 +08:00 via Android
    @cco 那没事 jdk11 以上够了
    Cbdy
        8
    Cbdy  
       2021-12-15 09:40:48 +08:00 via Android   ❤️ 1
    @cco
    https://mobile.twitter.com/marcioalm/status/1470361495405875200
    还是升级一下吧,好像都可能受影响
    ho121
        9
    ho121  
       2021-12-15 09:49:23 +08:00
    就算 ES 本身没有外网,难道不怕其他有外网的服务被攻破、拿到内网的权限,进而影响到内网的 ES
    jiezhi
        10
    jiezhi  
       2021-12-15 09:56:43 +08:00   ❤️ 1
    既然是 log 组件的漏洞,确保调用该组件 log 的信息里没有爆破代码才行吧。

    比如我在这里输入了爆破信息(发出来就不能回帖。。) ,如果有分析这个帖子的 Java 组件里把我这条回复通过 log4j 输出了,那应该也是存在风险的吧。

    个人推测。


    ---
    当我回复里存在注入信息会被防住😁



    jiezhi
        11
    jiezhi  
       2021-12-15 09:59:05 +08:00   ❤️ 1
    @plko345 #5 无法外网访问也要注意从其他地方流过来的数据里带注入脚本。
    zanxj
        12
    zanxj  
       2021-12-15 10:14:29 +08:00
    看了半天也没看出有说明影响哪些版本的 ELK
    ThirdFlame
        13
    ThirdFlame  
       2021-12-15 10:17:39 +08:00
    无法被外网访问的系统,其处理的数据流中仍然有可能有“恶意代码”。

    无法访问外网的系统,不代表不能被攻击(例如通过 dns 请求,携带部分信息通过 dns 查询携出)。
    janxin
        14
    janxin  
       2021-12-15 11:08:22 +08:00
    @Livid 无法进行外部访问受影响攻击面不像可以访问外部网络被攻击这么直接,但是可以做为 APT 的一个内网攻击面存在。

    能修就修吧
    v2000000001ex
        15
    v2000000001ex  
       2021-12-15 18:10:33 +08:00
    docker 版如何修复
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   930 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 22:36 · PVG 06:36 · LAX 14:36 · JFK 17:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.