我们很高兴地宣布 Elasticsearch(7.16.2) 和 Logstash(6.8.22) 的新版本发布,本次发布将升级到最新版本的 Apache Log4j 2.17.0,并解决一些漏洞扫描器的误报问题。Elastic 还会通过我们的咨询主页保持持续更新,以确保我们的客户和社区能够及时了解最新发展。
12 月 10 日开始,Apache Log4j 漏洞 - CVE-2021-44228的公开披露,影响了多个采用了这个流行开源日志记录框架的基于 Java的自定义和商业应用程序。这个漏洞影响到 Log4j2 的 2.0-beta9 到 2.14.1 版本,并且已经被一些国家黑客组织和勒索软件组织利用,例如 APT35 和 Hafnium。谷歌使用Open Source Insights 进行的研究估计,截至 12 月 16 日,超过 35,000 个包(超过 Maven 中央存储库的 8%)受到最近披露的漏洞的影响。
Apache Log4j 在 Log4j 版本 2.15.0 中发布了对这个初始漏洞的修复。然而,修复并不完整,并导致潜在的 DoS 和数据泄露漏洞,记录为CVE-2021-45046。这个新漏洞在 Log4j2 版本 2.16.0 中得到修复。然而,版本 2.16.0 本身也被发现容易受到另一个 DoS 漏洞的攻击,这也导致新的CVE-2021-45105和 Apache Log4j2 版本 2.17.0 的最终发布。
在我们的咨询帖子中,我们确定了几种对 Elasticsearch 和 Logstash 版本有效的缓解措施,即使在使用易受攻击的 Log4j 版本时,这些缓解措施也是有效的。Elasticsearch 和 Logstash 版本 7.16.1 和 6.8.21 也完全缓解了 CVE-2021-44228 和 CVE-2021-45046。尽管这些版本提供了针对所有已知漏洞利用手段的全面保护,但它们可能会在仅查看 Log4j 依赖项版本的漏洞扫描器中触发误报。我们理解,虽然这可能不会导致风险,但一些客户可能仍会担心合规性影响。
发布Elasticsearch 7.16.2 和 Logstash 6.8.22
今天,我们很高兴地宣布推出新版本的 Elasticsearch 和 Logstash,分别是 7.16.2 和 6.8.22,它们将 Apache Log4j2 升级到版本 2.17.0。我们还保留了 7.16.1 和 6.8.21 中提供的缓解措施。针对 7.16.2 和 6.8.22 中交付的 Log4j 缓解措施的总和包括:
- Log4j 升级到 2.17.0 版本
- JndiLookup 类被完全删除,以消除 JNDI Lookup 功能提供的攻击手段和类似漏洞的相关风险
- log4j2.formatMsgNoLookups=true 设置为禁用
请参阅 Elastic咨询页面以了解所有 Elastic 产品和相关缓解措施的最新信息。
虽然修补系统是对抗这些漏洞的最佳方法,但在某些情况下,修补可能会因依赖项或潜伏在环境中的非托管/历史遗留系统而难以完全实施。Elastic Security 用户还可以利用检测和事件关联的强大功能,使用 Elastic Endpoint、Auditbeat 和威胁搜寻功能来识别环境中对 Log4j2 漏洞的任何主动利用。请参阅有关此主题的Elastic博客以了解 Elastic 如何提供帮助。
现有的 Elastic Security 可以访问产品中的这些功能。如果您不熟悉 Elastic Security,请查看我们的快速入门指南(可一口气快速看完的培训视频,让您快速入门)或我们的免费基础知识培训课程。请参阅官方文档以了解如何升级Elasticsearch和Logstash部署。您可以通过Elastic Cloud 的 14 天免费试用版或者免费下载Elastic Stack 的自部署版本来开始试用。
参考资料
https://logging.apache.org/log4j/2.x/security.html
https://security.googleblog.com/2021/12/understanding-impact-of-apache-log4j.html
https://www.bleepingcomputer.com/news/security/log4j-vulnerability-now-used-by-state-backed-hackers-access-brokers/
https://thehackernews.com/2021/12/hackers-begin-exploiting-second-log4j.html
https://www.cert.govt.nz/it-specialists/advisories/log4j-rce-0-day-actively-exploited/
https://www.zdnet.com/article/cisa-orders-federal-agencies-to-mitigate-log4j-vulnerabilities-in-emergency-directive/