今天真的是焦头烂额,新出来的这个log4j2零日漏洞看起来杀伤力极大,影响了Apache Struts2, Apache Solr, Apache Druid, Apache Flink等重量级的开源项目。当然也包括我们的Elasticsearch。在官方正式的通告、解决方案,补丁出来之前,我这里先简答说一下我个人的测试结果(注意,不代表官方!)
划重点:
我个人的测试结果是:只有ES 5+JDK8能复现。ES 5+JDK12,ES 6+JDK8,ES 7+JDK8均无法进行远程代码执行
测试方案:
nc
命令,查看网络连接情况,这里我监控的是1388接口: nc -l 1388
1388
端口的ldap
语句:// 注意,要先把call_date定义为date类型
{
"query": {
"bool": {
"filter": {
"bool": {
"must": [
{
"term": {
"call_date": "${jndi:ldap://127.0.0.1:1388/a}"
}
}
]
}
}
}
}
}
执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a}
被打印,同时1388
端口被连接
执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a}
被打印,同时1388
端口未被连接
执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a}
被打印,同时1388
端口被连接
在config/jvm.options
中添加-Dlog4j2.formatMsgNoLookups=true
, 执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a}
被打印,同时1388
端口未被连接
执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a}
被打印,同时1388
端口未被连接
执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a}
被打印,同时1388
端口未被连接
执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a}
被打印,同时1388
端口未被连接
执行方案有变,关键语句 ${jndi:ldap://127.0.0.1:1388/a}
通过slow log打印(在7.14上,之前的方案无法再触发runtime log的异常打印)。1388
端口未被连接
在大家都普遍升级到5.x以上版本的今天,看起来log4j2零日漏洞对ES的影响并不大。而对于5.x版本的用户,使用-Dlog4j2.formatMsgNoLookups=true
,就能避免这个问题(如果JDK本身就是8以上的版本,都不用重启)。但毕竟这次测试并没有过于深入,让我们静待官方最终的调查结果和方案吧
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。