近日,阿里云计算有限公司发现Apache Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知Apache软件基金会。本文为您介绍该漏洞的影响范围及相应的修复方案。
漏洞影响
该漏洞对Elasticsearch相关影响的详细信息,请参见Apache Log4j2 Remote Code Execution (RCE) Vulnerability - CVE-2021-44228 - ESA-2021-31和Elasticsearch 5.0.0-5.6.10 and 6.0.0-6.3.2: Log4j CVE-2021-44228, CVE-2021-45046 remediation。
阿里云Elasticsearch及相关服务受到影响的版本包括(未提到的版本不受影响):
Elasticsearch:5.5.3、5.6.16、6.3.2、6.7.0内核版本为1.3.0(6.7.0的其他内核版本不受影响)
查看内核版本:参见查看实例的基本信息进入目标实例的基本信息页面,单击更新与升级,在对话框中选中更新内核补丁,即可查看该实例的内核版本。
Logstash:6.7、7.4
漏洞修复计划
用户侧配置优化方案
为了您的业务安全,请注意:
尽量避免开启公网访问,如需开启请按最小原则配置IP白名单,具体操作请参见配置实例公网或私网访问白名单。
不要为集群安装任何非官方正式渠道来源的插件。
Elasticsearch产品侧修复方案
截止2021年12月28日,阿里云已更新发布Elasticsearch 5.5.3和5.6.16版本以及Logstash 6.7和7.4版本的相关版本patch。截止2022年1月19日,阿里云已更新发布Elasticsearch 6.3.2和6.7.0内核版本为1.3.0的相关版本patch。您需要对Elasticsearch及Logstash对应版本实例进行变更后完成修复,具体操作请参见修复流程。
该修复方案:
适用于Elasticsearch 5.5.3、5.6.16、6.3.2和6.7.0内核版本为1.3.0以及Logstash 6.7和7.4版本。其他版本无需修复。
通过集群重启或蓝绿变更完成漏洞修复不会对线上业务造成影响,但由于涉及实例重启或蓝绿变更操作,因此建议在业务低峰期操作。
建议修复变更时间
2021年12月28日起,您可以对您所有地域下的实例进行变更修复。为了集群变更的稳定性,建议您按照下表中的建议变更时间,对各地域实例进行变更修复。
建议变更时间 | 地域 | 地域ID |
2021年12月28日起 | 华东2(上海) | cn-shanghai |
新加坡 | ap-southeast-1 | |
澳大利亚(悉尼) | ap-southeast-2 | |
马来西亚(吉隆坡) | ap-southeast-3 | |
印度尼西亚(雅加达) | ap-southeast-5 | |
日本(东京) | ap-northeast-1 | |
2021年12月29日起 | 华东1(杭州) | cn-hangzhou |
华北1(青岛) | cn-qingdao | |
华北3(张家口) | cn-zhangjiakou | |
印度(孟买)已关停 | ap-south-1 | |
华东1杭州金融云 | cn-hangzhou-finance | |
华东2上海金融云 | cn-shanghai-finance-1 | |
华北2阿里政务云1 | cn-north-2-gov-1 | |
2021年12月30日起 | 德国(法兰克福) | eu-central-1 |
美国(弗吉尼亚) | us-east-1 | |
美国(硅谷) | us-west-1 | |
华南1(深圳) | cn-shenzhen | |
华北2(北京) | cn-beijing | |
中国香港 | cn-hongkong | |
英国(伦敦) | eu-west-1 |