Apache Log4j2 远程代码执行 (RCE) 漏洞 ES-6.3.2 修复记录

最新推荐文章于 2023-04-23 22:40:23 发布
最新推荐文章于 2023-04-23 22:40:23 发布
阅读量2.2k 收藏
点赞数
分类专栏: elasticsearch 文章标签: elasticsearch apache log4j2 es 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31285735/article/details/122010031
版权

官方给出的修复建议:

Elasticsearch 5.0.0-5.6.10 and 6.0.0-6.3.2: Log4j CVE-2021-44228, CVE-2021-45046 remediation - Security Announcements - Discuss the Elastic Stack

1、先安装zip 工具 

yum -y install  zip 

2、进入es安装目录。

 cd /usr/share/elasticsearch

3、搜索log4j的jar包。

ls -l lib/log4j-core-*.jar

4、先备份 log4j JAR 文件

zip ./backup-log4j.zip lib/log4j-core-*.jar

5、从 log4j JAR 文件中删除易受攻击的类:

zip -d lib/log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

6、再执行一遍步骤5中的命令

如果输出为zip error: Nothing to do!,则表示该类已被删除

7、查找是否成功删除JndiLookup.class(没有jar命令)

unzip -v /usr/share/elasticsearch/lib/log4j-core-2.9.1.jar | grep ‘JndiLookup'

8、关闭分片再平衡(重新分布分片会消耗大量I/0资源)

一定要先关闭自动平衡(重要)

curl -H 'Content-Type:application/json'  -XPUT 127.0.0.1:9200/_cluster/settings -d '

{

    "transient" : {

        "cluster.routing.allocation.enable" : "none"

    }

}'

9、重启完成后查看节点是否重新加入集群,加入后开启分片再平衡

curl -H 'Content-Type:application/json'  -XPUT 127.0.0.1:9200/_cluster/settings -d '

{

    "transient" : {

        "cluster.routing.allocation.enable" : "all"

    }

}'

10、检查集群健康状态,变成green之后开始进行下一个节点的操做(滚动重启)

curl 127.0.0.1:9200/_cat/health?v 

会用到的命令

curl 127.0.0.1:9200/_cat/recovery?v 查看重新分片的情况

curl 127.0.0.1:9200/_cat/health?v 健康状态

curl 127.0.0.1:9200/_cat/nodes?v 查看节点

curl 127.0.0.1:9200/_nodes/stats?pretty  查看节点状态

qq_31285735
关注
专栏目录
Apache Log4j2 RCE 命令执行漏洞预警及修复方案
HBohan的博客
12-12 1588
漏洞名称:Apache Log4j2远程代码执行漏洞 组件名称:Apache Log4j2 截止2021年12⽉10⽇,受影响的Apache log4j2版本: 2.0≤Apache Log4j<=2.15.0-rc1 漏洞类型:远程代码执行
Elasticsearch与最新的log4j2零日漏洞
点火三周的专栏
12-12 7065
今天真的是焦头烂额,新出来的这个log4j2零日漏洞看起来杀伤力极大,影响了Apache Struts2, Apache Solr, Apache Druid, Apache Flink等重量级的开源项目。当然也包括我们的Elasticsearch。在官方正式的通告、解决方案,补丁出来之前,我这里先简答说一下我个人的测试结果(注意,不代表官方!) 划重点: 我个人的测试结果是:只有ES 5+JDK8能复现。ES 5+JDK12,ES 6+JDK8,ES 7+JDK8均无法进行远程代码执行 测试方案: 使用
10、升级ES-7.8.0的log4j版本
小确幸的博客
04-23 1483
记录下升级 ES-7.8.0 的 log4jjar 包。
log4j2-elasticsearchLog4j2 Elasticsearch Appender插件
03-04
log4j2-elasticsearch概述 这是log4j2附加程序插件的父项目,能够将日志批量推送到Elasticsearch集群。 最新发布的代码(1.5.x)可用。 项目包括: log4j2-elasticsearch-core实现的框架提供程序 log4j2-elasticsearch-hc与Elasticsearch 2.x,5.x,6.x和7.x集群兼容的优化Apache Async HTTP客户端 log4j2-elasticsearch-jest与Elasticsearch 2.x,5.x,6.x和7.x集群兼容的 log4j2-elasticsearch2-bulkprocessor与2.x群集兼容的 log4j2-elasticsearch5-bulkprocessor与5.x和6.x集群兼容的 log4j2-elasticsearch6-bulkproces
CVE-2021-44228:Apache Log4j RCE
Fly_鹏程万里
12-18 1460
文章前言 本篇文章我们主要介绍关于CVE-2021-44228:Apache Log4j RCE漏洞的自检与修复,帮助甲方人员尽快修复项目中存在的不安全依赖 漏洞概述 Apache Log4j2是⼀个基于Java的⽇志记录⼯具,该⼯具重写了Log4j框架,并且引⼊了⼤量丰富的特性,该⽇志框架被⼤量⽤于业务系统开发,⽤来记录⽇志信息,⼤多数情况下,开发者可能会将⽤户输⼊导致的错误信息写⼊⽇志中,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执⾏漏洞。该漏洞
漏洞预警:Apache Log4j RCE漏洞
热门推荐
weixin_43526443的博客
12-13 7万+
目录 Part1 漏洞描述 Part2 危害等级 Part3 漏洞影响 Part4 漏洞分析及验证 源码分析 Part5 漏洞检测 自我检测 攻击检测 产品检测 Part6 漏洞修复 Part1 漏洞描述 Apache Log4jApache的一个开源项目,Apache log4j2Log4j的升级版本,我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。 近日发现Apache Log4j存在任意代码执行
Apache Log4j2 远程代码执行漏洞 排查及修复
m0_48368237的博客
12-23 1956
近期,Apache Log4j2 远程代码执行漏洞(CNVD-2021- 95914)曝光,引发社会广泛关注。攻击者利用该漏洞,可 在未授权的情况下远程执行代码,获得服务器控制权限。经 中心综合技术分析研判,该漏洞具有危害程度高、利用难度 低、影响范围大的特点。 一、漏洞情况分析 Apache Log4j 是一个基于 Java 的日志记录组件。Apach e Log4j2Log4j 的升级版本,通过重写 Log4j 引入了丰富 的功能特性。该日志组件被广泛应用于业务系统开发,用以 记录程序输入输出日志
Apache log4j2远程代码执行漏洞复现
世间繁华梦一出
12-11 9884
Apache log4j2 远程代码执行漏洞复现漏洞描述漏洞影响范围漏洞复现步骤:深度利用——反弹shell防御措施 漏洞描述 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的请求包,最终出发远程代码执行。该漏洞实际上是组件解析缺陷导致的。 漏洞影响范围 2.0 <= Apache
log4j2远程代码执行RCE漏洞复现(CVE-2021-44228)
m0_57379855的博客
03-06 599
RCE远程代码执行漏洞复现log4jLog4jLDAPJNDIJNDI注入漏洞流程Log4j影响范围和排查方法修复漏洞 Log4j Log for Java,Apach的开源日志记录组件,使用非常广泛 使用方法: 1.pom引入依赖 2.获得logger实例 3.logger.info() debug() error() warn() LDAP lightweight directory access protocol轻量级目录访问协议(目录服务)默认端口389 可以批量登录 JNDI LDAP目录服务,R
Log4j2远程代码执行漏洞复现(cve-2021-44228)
weixin_47179815的博客
07-12 1万+
Log4j2远程代码执行漏洞(cve-2021-44228)复现笔记内容Apache log4jApache的一个开源项目,Apache log4j 2是一个就Java的日志记录工具。通过重写了log4j框架,并且引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录程序输入输出日志信息。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。成功利用该漏洞可在目标服务器上执行任意代码。JNDI简单介绍JNDI(Java Na
apache-log4j-2.16.0-bin.rar
12-17
总之,Apache Log4j2的这个远程代码执行漏洞是一个严重的安全问题,及时升级到2.16.0或更高版本是保护系统免受攻击的关键。企业应当制定并实施有效的安全策略,包括定期更新软件组件,监控系统日志以检测异常行为,...
Apache Log4j 2 远程代码执行漏洞详解
SimpleAstronaut的博客
12-11 1万+
Apache Log4j2 远程代码执行漏洞的详细信息已被披露,而经过分析,本次 Apache Log4j 远程代码执行漏洞,正是由于组件存在 Java JNDI 注入漏洞:当程序将用户输入的数据记入日志时,攻击者通过构造特殊请求,来触发 Apache Log4j2 中的远程代码执行漏洞,从而利用此漏洞在目标服务器上执行任意代码
Apache Log4j2.x RCE命令执行漏洞攻击原理及修复措施
wangpf2011的博客
12-23 3888
截止2021.12.20,短短几天Log4j2.x已经连发3个版本,用以修复RCE命令执行漏洞Log4j2漏洞总体来说是通过JNDI注入恶意代码来完成攻击,具体的操作方式有RMI和LDAP等。 一、攻击原理 以RMI为例,简单阐述下该漏洞的攻击原理: 1、攻击者首先发布一个RMI服务,此服务将绑定一个引用类型的RMI对象。在引用对象中指定一个远程的含有恶意代码的类。 2、攻击者再发布另一个恶意代码下载服务,此服务可以下载所有含有恶意代码的类。 3、攻击者利用Log4j2漏洞注入RMI调用,
Apache_Log4j2_RCE漏洞复现(CVE-2021-44228)
qq_45751902的博客
10-05 942
这就为攻击者提供了攻击途径,攻击者可以在界面传入一个包含恶意内容(会提供一个恶意的Class文件)的ldap协议内容(如:恶意内容${jndi:ldap://localhost:{sys:java.version}}恶意内容),该内容传递到后端被log4j2打印出来,就会触发恶意的Class的加载执行(可执行任意后台指令),从而达到攻击的目的。是最受欢迎的于开发时的日志组件。不知道为什么,上面申请的那个url,没有返回数据,然后也ping不通(如果你还没有回显,看图片下面),看下面的图片,说明存在漏洞
CVE-2021-44228-Apache-Log4j-Rce漏洞反弹win&linux
渗透测试研究中心
12-14 528
0x00 漏洞描述Apache Log4jApache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。Log4j-2中存在JND...
Elasticsearch基础2——es配置文件、jvm配置文件、log4j2.properties配置文件详解
百慕卿君博客
01-15 1万+
es配置文件基本参数详解+测试 jvm配置文件参数详解 log4j2.properties日志配置我呢见核心参数
Apache_Log4j2_RCE漏洞复现
Blue的博客
12-14 5056
漏洞描述: Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。如:Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。 影响范围: Apache Log4j 2.x < 2.15.0-rc2 漏洞复现 1.环境搭建
elasticsearch源码层面升级log4j版本
m0_67391270的博客
04-18 988
1.摘要 Apache 安全团队发布了针对影响 Apache Log4j2 的 CVE-2021-44228 的安全公告。 2.症状 恶意用户可以利用此漏洞以运行受影响软件的用户或服务帐户身份运行任意代码。使用 log4j 版本 2.0 到 2.14.1 的软件产品受到影响,而 log4j 1.x 不受影响。 3.elasticsearch log4j版本 2.11.1 4.修改es源码,提高log4j版本 适用版本elasticsearch 6.6.1 在buildSrc模块下,version.prope
Apache Log4j2远程代码执行漏洞(CVE-2021-45105/CVE-2021-44228)、
最新发布
08-22
这个漏洞源于Log4j库的一个设计缺陷,当处理某些特定类型的外部输入数据时,攻击者可以构造恶意的控制字符序列,使得日志处理器执行任意的Java代码,从而实现了远程代码执行。 攻击者可以通过受影响的应用程序访问...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值