Alibaba Cloud Computing Co., Ltd. baru-baru ini menemukan kerentanan eksekusi kode jarak jauh (RCE) di Apache Log4j 2 dan melaporkan kerentanan ini kepada Apache. Topik ini menjelaskan dampak dari kerentanan tersebut serta menyediakan solusi untuk mengatasinya.
Dampak
Untuk informasi lebih lanjut tentang dampak kerentanan terhadap Elasticsearch, lihat Kerentanan Eksekusi Kode Jarak Jauh (RCE) Apache Log4j2 - CVE-2021-44228 - ESA-2021-31 dan Elasticsearch 5.0.0-5.6.10 dan 6.0.0-6.3.2: Perbaikan Log4j CVE-2021-44228, CVE-2021-45046.
Kerentanan ini memengaruhi versi berikut dari kluster Elasticsearch dan Logstash Alibaba Cloud:
Elasticsearch: V5.5.3, V5.6.16, V6.3.2, dan V6.7.0 (dengan versi kernel V1.3.0)
Untuk melihat versi kernel kluster Elasticsearch, buka halaman Informasi Dasar kluster sesuai dengan instruksi dalam Lihat informasi dasar sebuah kluster, lalu klik Update and Upgrade di pojok kanan atas halaman. Dalam kotak dialog yang muncul, pilih Kernel Patch Update. Anda dapat melihat versi kernel kluster tersebut di sana.
Logstash: V6.7 dan V7.4
Solusi
Solusi optimalisasi konfigurasi untuk sisi klien
Untuk memastikan keamanan bisnis Anda, perhatikan hal-hal berikut:
Disarankan agar Anda tidak mengaktifkan fitur Akses Jaringan Publik untuk kluster Elasticsearch Anda. Jika diperlukan, konfigurasikan daftar putih alamat IP publik untuk kluster Anda dan tambahkan hanya alamat IP yang digunakan untuk mengakses kluster Elasticsearch ke daftar putih. Untuk informasi lebih lanjut, lihat Konfigurasikan daftar putih alamat IP publik atau privat untuk kluster Elasticsearch.
Jangan instal Plugin yang tidak disediakan oleh situs resmi untuk kluster Elasticsearch Anda.
Solusi untuk Alibaba Cloud Elasticsearch
Hingga 28 Desember 2021, Alibaba Cloud telah merilis patch untuk Elasticsearch V5.5.3, Elasticsearch V5.6.16, Logstash V6.7, dan Logstash V7.4. Hingga 19 Januari 2022, patch juga telah dirilis untuk Elasticsearch V6.3.2 dan Elasticsearch V6.7.0 (dengan versi kernel V1.3.0). Anda harus me-restart kluster Elasticsearch atau Logstash versi terkait untuk memperbaiki kerentanan tersebut. Untuk informasi lebih lanjut, lihat Prosedur.
Perhatikan hal-hal berikut saat menggunakan solusi ini:
Solusi ini hanya berlaku untuk Elasticsearch V5.5.3, Elasticsearch V5.6.16, Elasticsearch V6.3.2, Elasticsearch V6.7.0 (dengan versi kernel V1.3.0), Logstash V6.7, dan Logstash V7.4.
Jika Anda me-restart kluster atau menggunakan metode pembaruan biru-hijau untuk memperbaiki kerentanan, bisnis online Anda tidak akan terpengaruh. Namun, kami tetap merekomendasikan agar Anda melakukan restart atau pembaruan biru-hijau selama jam-jam sepi.
Waktu pembaruan yang direkomendasikan
Mulai 28 Desember 2021, Anda dapat memperbarui semua kluster Anda yang berada di wilayah-wilayah yang tercantum dalam tabel berikut untuk memperbaiki kerentanan. Untuk memastikan stabilitas kluster, kami merekomendasikan agar Anda memperbarui kluster Anda dalam rentang waktu yang direkomendasikan seperti yang tercantum dalam tabel berikut.
Waktu pembaruan yang direkomendasikan | Nama Wilayah | ID Wilayah |
Mulai 28 Desember 2021 | Cina (Shanghai) | cn-shanghai |
Singapura | ap-southeast-1 | |
Australia (Sydney) Ditutup | ap-southeast-2 | |
Malaysia (Kuala Lumpur) | ap-southeast-3 | |
Indonesia (Jakarta) | ap-southeast-5 | |
Jepang (Tokyo) | ap-northeast-1 | |
Mulai 29 Desember 2021 | Cina (Hangzhou) | cn-hangzhou |
Cina (Qingdao) | cn-qingdao | |
Cina (Zhangjiakou) | cn-zhangjiakou | |
India (Mumbai) Ditutup | ap-south-1 | |
Cina Timur 1 Keuangan | cn-hangzhou-finance | |
Cina Timur 2 Keuangan | cn-shanghai-finance-1 | |
Cina Utara 2 Ali Gov 1 | cn-north-2-gov-1 | |
Mulai 30 Desember 2021 | Jerman (Frankfurt) | eu-central-1 |
AS (Virginia) | us-east-1 | |
AS (Silicon Valley) | us-west-1 | |
Cina (Shenzhen) | cn-shenzhen | |
Cina (Beijing) | cn-beijing | |
Cina (Hong Kong) | cn-hongkong | |
Inggris (London) | eu-west-1 |
Prosedur
Memperbaiki kerentanan untuk kluster Elasticsearch
Restart kluster di konsol Elasticsearch. Masuk ke konsol Elasticsearch dan buka halaman Basic Information kluster. Di halaman Informasi Dasar, klik Restart di pojok kanan atas. Dalam kotak dialog Restart, pilih Node Role untuk Objek, pilih jenis node yang ingin Anda restart dari daftar drop-down Node, lalu pilih Change Blue-green Release. Jenis node yang dapat dipilih tidak termasuk node Kibana dan node NGINX. Lalu, klik OK. Setelah kluster direstart, kerentanan tersebut diperbaiki untuk kluster tersebut. Untuk informasi lebih lanjut, lihat Restart kluster atau node.
Memperbaiki kerentanan untuk kluster Logstash
Restart kluster di konsol Elasticsearch. Masuk ke konsol Elasticsearch dan buka halaman Basic Information kluster. Di halaman Informasi Dasar, klik Restart di pojok kanan atas. Dalam kotak dialog Restart, pilih Cluster untuk Objek dan klik OK. Setelah kluster direstart, kerentanan tersebut diperbaiki untuk kluster tersebut. Untuk informasi lebih lanjut, lihat Restart kluster atau node.
PeringatanPembaruan biru-hijau tidak diperlukan untuk kluster Logstash. Jika Anda melakukan pembaruan biru-hijau untuk kluster, node dalam kluster akan berubah. Jika Anda memilih Ubah Rilis Biru-Hijau saat me-restart kluster Logstash, data dalam pipeline kluster mungkin hilang setelah restart.