今天真的是焦头烂额,新出来的这个log4j2零日漏洞看起来杀伤力极大,影响了Apache Struts2, Apache Solr, Apache Druid, Apache Flink等重量级的开源项目。当然也包括我们的Elasticsearch。在官方正式的通告、解决方案,补丁出来之前,我这里先简答说一下我个人的测试结果(注意,不代表官方!)
划重点:
我个人的测试结果是:只有ES 5+JDK8能复现。ES 5+JDK12,ES 6+JDK8,ES 7+JDK8均无法进行远程代码执行
测试方案:
- 使用
nc
命令,查看网络连接情况,这里我监控的是1388接口:nc -l 1388
- 构造特殊查询,使ES打印出会访问
1388
端口的ldap
语句:
// 输入代码内容 { "query": { "bool": { "filter": { "bool": { "must": [ { "term": { "call_date": "${jndi:ldap://127.0.0.1:1388/a}" } } ] } } } } }
- 然后查看特定端口会不会被连接
测试结果
5.3.0 + JDK 8
执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a}
被打印,同时1388
端口被连接
5.3.0 + JDK 12
执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a}
被打印,同时1388
端口未被连接
5.6.16 + JDK 8
执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a}
被打印,同时1388
端口被连接
5.6.16 + JDK 8 + -Dlog4j2.formatMsgNoLookups=true
在config/jvm.options
中添加-Dlog4j2.formatMsgNoLookups=true
, 执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a}
被打印,同时1388
端口未被连接
5.6.16 + JDK 12
执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a}
被打印,同时1388
端口未被连接
6.0.1 + JDK 8
执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a}
被打印,同时1388
端口未被连接
6.0.1 + JDK 12
执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a}
被打印,同时1388
端口未被连接
7.14.1 + JDK 8
执行方案有变,关键语句 ${jndi:ldap://127.0.0.1:1388/a}
通过slow log打印(在7.14上,之前的方案无法再触发runtime log的异常打印)。1388
端口未被连接
测试结论
在大家都普遍升级到5.x以上版本的今天,看起来log4j2零日漏洞对ES的影响并不大。而对于5.x版本的用户,使用-Dlog4j2.formatMsgNoLookups=true
,就能避免这个问题(如果JDK本身就是8以上的版本,都不用重启)。但毕竟这次测试并没有过于深入,让我们静待官方最终的调查结果和方案吧
原创文章,作者:kepupublish,如若转载,请注明出处:https://blog.ytso.com/211929.html