Elastic:推出 7.16.2 和 6.8.22 版本的 Elasticsearch 和 Logstash 以升级 Apache Log4j2

1065 篇文章 602 订阅

作者:Tom CallahanQuin HoxieRajiv Raghunarayan

原文:Introducing 7.16.2 and 6.8.22 releases of Elasticsearch and Logstash to upgrade Apache Log4j2 | Elastic Blog

blog-security-radar-720x420.png

我们很高兴地宣布 Elasticsearch 和 Logstash 的新版本 7.16.2 和 6.8.22,以升级到最新版本的 Apache Log4j 并解决一些漏洞扫描器的误报问题。 Elastic 还通过我们的 advisory 保持持续更新,以确保我们的 Elastic 客户和我们的社区能够及时了解最新发展。

12 月 10 日开始,Apache Log4j 漏洞 - CVE-2021-44228 的公开披露影响了几个基于 Java 的自定义和商业应用程序采用的流行开源日志记录框架。这个漏洞影响到 Log4j2 的 2.0-beta9 到 2.14.1 版本,并且已经被国家组织攻击者和勒索软件组织利用,例如 APT35 和 Hafnium。谷歌使用 Open Source Insights 进行的研究估计,截至 12 月 16 日,超过 35,000 个包(超过 Maven 中央存储库的 8%)受到最近披露的漏洞的影响。

Apache Log4j 在 Log4j 版本 2.15.0 中发布了对这个初始漏洞的修复。然而,修复并不完整,并导致潜在的 DoS 和数据泄露漏洞,记录为 CVE-2021-45046。这个新漏洞在 Log4j2 版本 2.16.0 中得到修复。然而,版本 2.16.0 本身也被发现容易受到另一个 DoS 漏洞的攻击,导致新的 CVE-2021-45105,并最终发布了 Apache Log4j2 版本 2.17.0。

在我们的咨询帖子中,我们确定了几种对 Elasticsearch 和 Logstash 版本有效的缓解措施,即使在使用易受攻击的 Log4j 版本时也是如此。 Elasticsearch 和 Logstash 版本 7.16.1 和 6.8.21 也完全缓解了 CVE-2021-44228 和 CVE-2021-45046。尽管这些版本提供了针对所有已知 CVE 的全面保护,但它们可能会在仅查看 Log4j 依赖项版本的漏洞扫描器中触发误报警报。我们理解,虽然这可能不会导致风险,但一些部署和客户可能仍会担心合规性影响。

Elasticsearch 7.16.2 和 Logstash 6.8.22 介绍

今天,我们很高兴地宣布推出新版本的 Elasticsearch 和 Logstash,分别是 7.16.2 和 6.8.22,它们将 Apache Log4j2 升级到版本 2.17.0。我们还保留了 7.16.1 和 6.8.21 中提供的缓解措施。针对 7.16.2 和 6.8.22 中交付的 Log4j 缓解措施的总和包括:

  • Log4j 升级到 2.17.0 版本
  • JndiLookup 类被完全删除,以消除 JNDI Lookup 功能提供的攻击面和类似漏洞的相关风险
  • log4j2.formatMsgNoLookups=true 设置为禁用易受攻击的功能之一

请参阅 Elastic 咨询以了解所有 Elastic 产品和相关缓解措施的最新信息。

虽然修补系统是领先于这些漏洞的最佳方法,但在某些情况下,修补可能会因依赖项或潜伏在环境中的非托管/流氓系统而延迟。 Elastic Security 用户还可以利用检测和事件关联的强大功能,使用 Elastic Endpoint、Auditbeat 和威胁搜寻功能来识别环境中对 Log4j2 漏洞的任何主动利用。请参阅 Elastic 关于此主题的博客,了解 Elastic 如何提供帮助。

log4j2

现有的 Elastic Security 可以访问产品中的这些功能。 如果你不熟悉 Elastic Security,请查看我们的快速入门指南(短小的培训视频,让你快速入门)或我们的免费基础知识培训课程。 请参阅联机文档以了解如何升级 ElasticsearchLogstash 部署。 你始终可以开始使用 Elastic Cloud 的 14 天免费试用版。 或者免费下载 Elastic Stack 的自我管理版本。

参考:

Log4j – Apache Log4j Security Vulnerabilities

https://security.googleblog.com/2021/12/understanding-impact-of-apache-log4j.html

https://www.bleepingcomputer.com/news/security/log4j-vulnerability-now-used-by-state-backed-hackers-access-brokers/

Hackers Begin Exploiting Second Log4j Vulnerability as a Third Flaw Emerges

Log4j RCE 0-day actively exploited | CERT NZ

CISA: Federal agencies must immediately mitigate Log4J vulnerabilities | ZDNet

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值