近日,阿里雲計算有限公司發現Apache Log4j2組件存在遠程代碼執行漏洞,並將漏洞情況告知Apache軟體基金會。本文為您介紹該漏洞的影響範圍及相應的修複方案。
漏洞影響
該漏洞對Elasticsearch相關影響的詳細資料,請參見Apache Log4j2 Remote Code Execution (RCE) Vulnerability - CVE-2021-44228 - ESA-2021-31和Elasticsearch 5.0.0-5.6.10 and 6.0.0-6.3.2: Log4j CVE-2021-44228, CVE-2021-45046 remediation。
Elasticsearch及相關服務受到影響的版本包括(未提到的版本不受影響):
Elasticsearch:5.5.3、5.6.16、6.3.2、6.7.0核心版本為1.3.0(6.7.0的其他核心版本不受影響)
查看核心版本:參見查看執行個體的基本資料進入目標執行個體的基本資料頁面,單擊更新與升級,在對話方塊中選中更新核心補丁,即可查看該執行個體的核心版本。
Logstash:6.7、7.4
漏洞修複計劃
使用者側配置最佳化方案
為了您的業務安全,請注意:
盡量避免開啟公網訪問,如需開啟請按最小原則配置IP白名單,具體操作請參見配置執行個體公網或私網訪問白名單。
不要為叢集安裝任何非官方正式渠道來源的外掛程式。
Elasticsearch產品側修複方案
截止2021年12月28日,阿里雲已更新發布Elasticsearch 5.5.3和5.6.16版本以及Logstash 6.7和7.4版本的相關版本patch。截止2022年1月19日,阿里雲已更新發布Elasticsearch 6.3.2和6.7.0核心版本為1.3.0的相關版本patch。您需要對Elasticsearch及Logstash對應版本執行個體進行變更後完成修複,具體操作請參見修複流程。
該修複方案:
適用於Elasticsearch 5.5.3、5.6.16、6.3.2和6.7.0核心版本為1.3.0以及Logstash 6.7和7.4版本。其他版本無需修複。
通過叢集重啟或藍綠變更完成漏洞修複不會對線上業務造成影響,但由於涉及執行個體重啟或藍綠變更操作,因此建議在業務低峰期操作。
建議修複變更時間
2021年12月28日起,您可以對您所有地區下的執行個體進行變更修複。為了叢集變更的穩定性,建議您按照下表中的建議變更時間,對各地區執行個體進行變更修複。
建議變更時間 | 地區 | 地區ID |
2021年12月28日起 | 華東2(上海) | cn-shanghai |
新加坡 | ap-southeast-1 | |
澳大利亞(雪梨)已關停 | ap-southeast-2 | |
馬來西亞(吉隆坡) | ap-southeast-3 | |
印尼(雅加達) | ap-southeast-5 | |
日本(東京) | ap-northeast-1 | |
2021年12月29日起 | 華東1(杭州) | cn-hangzhou |
華北1(青島) | cn-qingdao | |
華北3(張家口) | cn-zhangjiakou | |
印度(孟買)已關停 | ap-south-1 | |
華東1杭州金融雲 | cn-hangzhou-finance | |
華東2上海金融雲 | cn-shanghai-finance-1 | |
華北2阿里政務雲1 | cn-north-2-gov-1 | |
2021年12月30日起 | 德國(法蘭克福) | eu-central-1 |
美國(維吉尼亞) | us-east-1 | |
美國(矽谷) | us-west-1 | |
華南1(深圳) | cn-shenzhen | |
華北2(北京) | cn-beijing | |
中國香港 | cn-hongkong | |
英國(倫敦) | eu-west-1 |