今天真的是焦头烂额,新出来的这个log4j2零日漏洞看起来杀伤力极大,影响了Apache Struts2, Apache Solr, Apache Druid, Apache Flink等重量级的开源项目。当然也包括我们的Elasticsearch。在官方正式的通告、解决方案,补丁出来之前,我这里先简答说一下我个人的测试结果(注意,不代表官方!)
划重点:
我个人的测试结果是:只有ES 5 JDK8能复现。ES 5 JDK12,ES 6 JDK8,ES 7 JDK8均无法进行远程代码执行
测试方案:
- 使用
nc命令,查看网络连接情况,这里我监控的是1388接口:nc -l 1388 - 构造特殊查询,使ES打印出会访问
1388端口的ldap语句:
// 注意,要先把call_date定义为date类型
{
"query": {
"bool": {
"filter": {
"bool": {
"must": [
{
"term": {
"call_date": "${jndi:ldap://127.0.0.1:1388/a}"
}
}
]
}
}
}
}
}- 然后查看特定端口会不会被连接
测试结果
5.3.0 JDK 8
执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印,同时1388端口被连接
image.png5.3.0 JDK 12
执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印,同时1388端口未被连接
image.png5.6.16 JDK 8
执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印,同时1388端口被连接
image.png5.6.16 JDK 8 -Dlog4j2.formatMsgNoLookups=true
在config/jvm.options中添加-Dlog4j2.formatMsgNoLookups=true, 执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印,同时1388端口未被连接
image.png5.6.16 JDK 12
执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印,同时1388端口未被连接
image.png6.0.1 JDK 8
执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印,同时1388端口未被连接
image.png6.0.1 JDK 12
执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印,同时1388端口未被连接
image.png7.14.1 JDK 8
执行方案有变,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 通过slow log打印(在7.14上,之前的方案无法再触发runtime log的异常打印)。1388端口未被连接
image.png测试结论
在大家都普遍升级到5.x以上版本的今天,看起来log4j2零日漏洞对ES的影响并不大。而对于5.x版本的用户,使用-Dlog4j2.formatMsgNoLookups=true,就能避免这个问题(如果JDK本身就是8以上的版本,都不用重启)。但毕竟这次测试并没有过于深入,让我们静待官方最终的调查结果和方案吧
