漏洞描述
腾讯云 Elasticsearch Service 的官网 7.10.1 版本,受到 CVE-2021-22145 漏洞影响,有向 Elasticsearch 提交任意查询权限的用户可能会提交格式错误的查询,导致返回包含以前使用的数据缓冲区部分的错误消息,此缓冲区可能包含敏感信息,例如,Elasticsearch 文档或身份验证详细信息,可造成信息泄露,当获取到高权限账户认证信息时,则可完成权限提升。漏洞具体信息可参见 NVD - cve-2021-22145。
影响范围
在腾讯云 ES 中使用 Elasticsearch 7.10.1 版本(包括白金版和基础版)的集群受此漏洞影响。请受影响的集群用户按照以下指引进行修复。
解决方案
请使用 ES 控制台版本升级功能将 Elasticsearch 版本升级至 7.14.2 或更高版本,升级前请按控制台指引做好相关检查并选择合适的升级方式。操作指引可参见 升级 ES 集群。
暂不升级版本的集群可通过访问控制管理来防范相关风险:
无需通过公网访问的集群请关闭公网访问,关闭公网访问后的集群仅可通过 VPC 内网访问,可有效保障提交查询的安全性。
需要通过公网访问的集群请使用公网访问策略控制白名单 IP,以确保可信的 IP 才可访问 ES 集群。
