Elasticsearch与最新的log4j2零日漏洞

今天真的是焦头烂额，新出来的这个log4j2零日漏洞看起来杀伤力极大，影响了Apache Struts2, Apache Solr, Apache Druid, Apache Flink等重量级的开源项目。当然也包括我们的Elasticsearch。在官方正式的通告、解决方案，补丁出来之前，我这里先简答说一下我个人的测试结果（注意，不代表官方！）

划重点：

我个人的测试结果是：只有ES 5+JDK8能复现。ES 5+JDK12，ES 6+JDK8，ES 7+JDK8均无法进行远程代码执行

测试方案：

• 使用nc命令，查看网络连接情况，这里我监控的是1388接口: nc -l 1388
• 构造特殊查询，使ES打印出会访问1388端口的ldap语句：

// 注意，要先把call_date定义为date类型
{
  "query": {
    "bool": {
      "filter": {
        "bool": {
          "must": [
            {
              "term": {
                "call_date": "${jndi:ldap://127.0.0.1:1388/a}"
              }
            }
          ]
        }
      }
    }
  }
}

• 然后查看特定端口会不会被连接

测试结果

5.3.0 + JDK 8

执行测试方案，关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印，同时1388端口被连接

image.png

5.3.0 + JDK 12

执行测试方案，关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印，同时1388端口未被连接

image.png

5.6.16 + JDK 8

执行测试方案，关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印，同时1388端口被连接

image.png

5.6.16 + JDK 8 + -Dlog4j2.formatMsgNoLookups=true

在config/jvm.options中添加-Dlog4j2.formatMsgNoLookups=true, 执行测试方案，关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印，同时1388端口未被连接

image.png

5.6.16 + JDK 12

执行测试方案，关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印，同时1388端口未被连接

image.png

6.0.1 + JDK 8

执行测试方案，关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印，同时1388端口未被连接

image.png

6.0.1 + JDK 12

执行测试方案，关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印，同时1388端口未被连接

image.png

7.14.1 + JDK 8

执行方案有变，关键语句 ${jndi:ldap://127.0.0.1:1388/a} 通过slow log打印（在7.14上，之前的方案无法再触发runtime log的异常打印）。1388端口未被连接

image.png

测试结论

在大家都普遍升级到5.x以上版本的今天，看起来log4j2零日漏洞对ES的影响并不大。而对于5.x版本的用户，使用-Dlog4j2.formatMsgNoLookups=true，就能避免这个问题（如果JDK本身就是8以上的版本，都不用重启）。但毕竟这次测试并没有过于深入，让我们静待官方最终的调查结果和方案吧