安恒紧急漏洞预警： ElasticSearch存在远程代码执行漏洞

ElasticSearch爆出远程代码漏洞(CVE-2015-1427)，该漏洞可造成远程代码执行，允许攻击者利用漏洞提交特制的HTTP请求，以root权限执行任意代码，危害较大，请广大用户注意。

关于ElasticSearch

ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎，基于RESTful web接口。Elasticsearch是用Java开发的，是当下最流行的企业搜索引擎。设计用于云计算中，能够达到实时搜索，稳定，可靠，快速，安装使用方便。

漏洞信息

漏洞出现在脚本查询模块，默认搜索引擎支持使用脚本代码（MVEL）作为表达式进行数据操作，MVEL会被脚本语言引擎换成Groovy，并且加入了沙盒进行控制，危险的代码会在这里被拦截。但是安全研究人员发现，沙盒限制存在过滤不严的情况，攻击者可以通过MVEL构造执行任意java代码，导致远程代码执行。

影响范围

目前该漏洞影响Elasticsearch 内置Groovy脚本引擎版本<1.3.8, 1.4.x系列<1.4.3

安全建议

Elasticsearch官方已经在最新的版本中修复了该漏洞，安恒信息建议广大用户尽快给升级到1.4.3或者1.3.8修复该漏洞

升级地址：

http://www.elasticsearch.org/downloads/1-4-3 http://www.elasticsearch.org/downloads/1-3-8

同时安恒信息研究院已经进行技术分析，稍后会将检测策略更新至杭州安恒信息技术有限公司生产的明鉴系列安全检测工具和明御系列防御产品的策略库中，用户只需更新产品策略，即可完成该漏洞的扫描检测与防御。

此外，安恒信息提醒各位管理员在升级补丁修复漏洞的同时千万不要忘记查看服务器是否已经被入侵，是否存在后门文件等，尽量将损失和风险控制在可控范围内。安恒信息目前也安排了24小时电话紧急值班（400-694-0110），随时协助有需要的客户解决该漏洞。

同时用户可以下载E安全app获得最及时的安全资讯、预警信息及风险威胁指数等等，下载地址：http://www.easyaq.com

此外，安恒信息提醒各位管理员在升级补丁修复漏洞的同时千万不要忘记查看服务器是否已经被入侵，是否存在后门文件等，尽量将损失和风险控制在可控范围内。安恒信息目前也安排了24小时电话紧急值班（400-694-0110），随时协助有需要的客户解决该漏洞。