【炸雷】Elasticsearch 的 Log4j 漏洞处置策略

最新推荐文章于 2025-10-15 16:40:16 发布
原创 最新推荐文章于 2025-10-15 16:40:16 发布 · 6.4k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elasticsearch #大数据 #big data #运维 #搜索引擎

本文详细阐述了Log4j的远程代码执行漏洞及其严重性,重点介绍了Elasticsearch受影响范围、检测方法、修复建议以及紧急补救措施,包括极限网关的解决方案。

昨日爆出的 Log4j 安全漏洞,业界一片哗然,极限实验室第一时间进行了跟进,对 Elasticsearch 的影响范围进行了分析,为大家提供如下应对策略。

【漏洞描述】

Apache Log4j 是一款非常流行的开源的用于 Java 运行环境的日志记录工具包,大量的Java 框架都使用了该组件,故影响范围非常之大。

近日, 随着 Apache Log4j 的远程代码执行最新漏洞细节被公开,攻击者可通过构造恶意请求利用该漏洞实现在目标服务器上执行任意代码。可导致服务器被黑客控制,从而进行页面篡改、数据窃取、挖矿、勒索等行为。建议使用该组件的用户第一时间启动应急响应进行修复。

简单总结一下就是,在使用 Log4j 打印输出的日志中,如果发现日志内容中包含关键词 ${,那么这个里面包含的内容会当做变量来进行替换和执行,导致攻击者可以通过恶意构造日志内容来让 Java 进程来执行任意命令,达到攻击的效果。

【漏洞等级】:非常紧急

此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。

【影响范围】:Java 类产品:Apache Log4j 2.x < 2.15.0-rc2

可能的受影响应用及组件(包括但不限于)如下:

  • Apache Solr

  • Apache Flink

  • Apache Druid

  • Apache Struts2

  • srping-boot-strate

最低0.47元/天 解锁文章
精选资源
log4j2-elasticsearchLog4j2 Elasticsearch Appender插件
03-04
log4j2-elasticsearch概述 这是log4j2附加程序插件的父项目,能够将日志批量推送到Elasticsearch集群。 最新发布的代码(1.5.x)可用。 项目包括: log4j2-elasticsearch-core实现的框架提供程序 log4j2-elastic...
精选资源
log4j漏洞修复升级jar包(log4j-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-api-2.17.0.jar)
Elasticsearch 解决 log4j 安全漏洞 - 升级镜像
咸鱼老罗的博客
12-15 3659
概论 Apache Log4j 2 被披露出存在严重代码执行漏洞,目前官方已发布正式安全公告及版本,漏洞编号:CVE-2021-44228,漏洞被利用可导致服务器被入侵等危害。 公司 ES 使用 Log4j 2 组件,存在安全问题,升级 ES 镜像中的 Log4j 2 版本解决该问题。 原理 java 项目只用替换编译出来的 jar 包就可以。 快速教程 下载 log4j-core-2.16.jar 和 log4j-api-2.16.jar https://repo.maven.apache.org/ma
elasticsearch log4j 漏洞修复
weixin_43725548的博客
12-14 6528
项目场景: ES版本 : elasticsearch-7.6.1 问题描述: 最近被曝出来Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码 数据传输过程中数据不时出现丢失的情况,偶尔会丢失一部分数据 查了一下服务器,发现 ES 服务刚好使用了 Log4j。现在国内写的人比较少,我便记录一下 解决方案: 查询出都 ES 服务都哪些地方使用了该文件(我这里将 log4j 已经替换成了 2.15 版本,替换前的版本好像是
ElasticSearch远程代码执行漏洞复现:原理详解+环境搭建+渗透实践(CVE-2014-3120)
最新发布
mooyuan的网络安全博客
10-15 982
本文分析了ElasticSearch远程代码执行漏洞(CVE-2014-3120),该漏洞影响1.2及之前版本,由于MVEL脚本引擎未沙盒化,攻击者可通过_search接口提交恶意脚本实现任意代码执行。文章详细介绍了漏洞原理,并利用Vulhub搭建复现环境,演示了从环境启动到漏洞利用的全过程,包括数据创建和执行系统命令(如id、cat /etc/passwd)等操作。最后提供了升级版本或禁用动态脚本的修复建议。
[Vulfocus解题系列]ElasticSearch命令执行漏洞(CVE-2014-3120)
00勇士王子的博客
07-04 1819
漏洞介绍 Elasticsearch 是一个基于 Lucene 库的搜索引擎,具有 HTTP Web 接口和无模式 JSON 文档。Elasticsearch 是用 Java 开发的,其支持 MVEL、js、Java 等语言,其老版本默认语言为 MVEL。 MVEL :一个被众多 Java 项目使用的开源的表达式语言。 Elasticsearch 1.2之前的版本默认配置启用了动态脚本,该脚本允许远程攻击者通过 _search 的 source 参数执行任意 MVEL 表达式和 Java 代码。 影响版本
Elasticsearch与最新的log4j2零日漏洞
点火三周的专栏
12-12 7327
今天真的是焦头烂额,新出来的这个log4j2零日漏洞看起来杀伤力极大,影响了Apache Struts2, Apache Solr, Apache Druid, Apache Flink等重量级的开源项目。当然也包括我们的Elasticsearch。在官方正式的通告、解决方案,补丁出来之前,我这里先简答说一下我个人的测试结果(注意,不代表官方!) 划重点: 我个人的测试结果是:只有ES 5+JDK8能复现。ES 5+JDK12,ES 6+JDK8,ES 7+JDK8均无法进行远程代码执行 测试方案: 使用
ElasticSearch 命令执行漏洞(CVE-2014-3120)
EnerY3的博客
12-12 1437
Elasticsearch 命令执行漏洞(CVE-2014-3120),它允许攻击者通过发送精心构造的请求到 Elasticsearch 服务器来执行任意操作系统命令。这个漏洞存在于 Elasticsearch 的早期版本中,并且在较新的版本中已经被修复
全网连夜修复Log4j漏洞,如何做
2401_84047990的博客
04-19 1215
同时也并不是完全没有缺点,主要的问题就是可能带来一定的性能损耗。还有就是开发难度比较高,需要对 JVM 字节码、ASM 工具、漏洞触发原理以及各类Java 应用容器都有所了解。RASP技术目前已经非常成熟,在PHP、Java、.NET等多种语言中都有实现方案。
ElasticSearch 命令执行漏洞 CVE-2014-3120 漏洞测试
ADummy的博客
02-24 464
ElasticSearch 命令执行漏洞(CVE-2014-3120) by ADummy 0x00利用路线 ​ Burpsuite抓包—>java代码放入json—>有回显命令执行 0x01漏洞介绍 ​ 老版本ElasticSearch支持传入动态脚本(MVEL)来执行一些复杂的操作,而MVEL可执行Java代码,而且没有沙盒,所以我们可以直接执行任意代码。 MVEL执行命令的代码如下: import java.io.*; new java.util.Scanner(Runtime.g
Elasticsearch_1.2漏洞利用工具
05-15
Elasticsearch_1.2漏洞利用工具,可以执行命令,上传文件,浏览文件。
关于 Log4j 高危漏洞,有必要优先关注 Elastic 官方的综合研判......
铭毅天下Elasticsearch
12-12 5963
信息来源:https://discuss.elastic.co/铭毅一句话概括:Kibana、Beats 不受任何影响。Elasticsearch、Logstash 受到漏洞影响,需要紧急...
Elasticsearch未授权访问漏洞
lhdbk______的博客
08-05 1171
Elasticsearch未授权访问漏洞
ElasticSearch单机或集群未授权访问漏洞
爱辉弟的博客
12-18 5077
ElasticSearch未授权访问漏洞,使用系统防火墙来做限制只允许ES集群和Server节点的IP来访问漏洞节点的9200端口,其他的全部拒绝。并在ES节点上设置用户密码
漏洞预警:Elasticsearch的Kibana存在任意代码执行漏洞(CVE-2025-25012
yuanlirong22的专栏
03-07 1372
Elasticsearch的Kibana存在任意代码执行漏洞(CVE-2025-25012)。允许攻击者操纵应用程序的JavaScript对象和属性,可能导致未经授权的数据访问、权限提升、拒绝服务或远程代码执行。在Kibana 8.15.0和8.17.1之间的版本中,该漏洞仅可由具有查看者角色的用户利用。在Kibana版本8.17.1和8.17.2中,它只能被具有fleet-all或integrations-all或actions:execute-advanced-connectors权限的用户利用。
ElasticSearch6.8.13解决Log4j CVE-2021-44228漏洞
qq_40864421的博客
12-14 5987
ElasticSearch6.8.13解决Log4j CVE-2021-44228漏洞
深入解析log4j框架及其安全漏洞防护措施
- **微服务架构**:在微服务架构下,日志的统一管理和聚合变得尤为重要,Log4j可以配合ELK(Elasticsearch, Logstash, Kibana)堆栈进行日志的集中化处理和分析。 7. **与Logback的比较**: - Log4j和Logback都是...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值