Alibaba Cloud は最近、Apache Log4j2 コンポーネントにリモートコード実行 (RCE) 脆弱性を発見し、Apache Software Foundation に報告しました。本トピックでは、この脆弱性の影響範囲および対処方法について説明します。
脆弱性の影響
この脆弱性が Elasticsearch に与える影響の詳細については、「Apache Log4j2 リモートコード実行 (RCE) 脆弱性 - CVE-2021-44228 - ESA-2021-31」および「Elasticsearch 5.0.0~5.6.10 および 6.0.0~6.3.2:Log4j CVE-2021-44228、CVE-2021-45046 の対処方法」をご参照ください。
影響を受ける Alibaba Cloud Elasticsearch および関連サービスのバージョンは以下のとおりです。以下に記載されていないバージョンは影響を受けません。
Elasticsearch:5.5.3、5.6.16、6.3.2、およびカーネルバージョン 1.3.0 を使用する 6.7.0。6.7.0 のその他のカーネルバージョンは影響を受けません。
カーネルバージョンを確認するには、宛先インスタンスの基本情報ページに移動し、右上隅の [アップデートとアップグレード] をクリックし、表示されるダイアログボックスで [カーネルパッチの更新] を選択します。詳細については、「インスタンスの基本情報の確認」をご参照ください。
Logstash:6.7 および 7.4
脆弱性対処計画
推奨されるユーザー構成
ビジネスのセキュリティを確保するために、以下の点をご検討ください。
パブリックネットワークアクセスの有効化を避けてください。やむを得ず有効化する場合は、最小権限の原則に基づいて IP アドレスホワイトリストを構成してください。詳細については、「インスタンスのパブリックまたはプライベート IP アドレスホワイトリストの設定」をご参照ください。
クラスターに非公式ソースからのプラグインをインストールしないでください。
Elasticsearch プロダクトの対処計画
2021 年 12 月 28 日時点で、Alibaba Cloud は Elasticsearch 5.5.3 および 5.6.16、ならびに Logstash 6.7 および 7.4 向けのパッチをリリースしました。また、2022 年 1 月 19 日時点で、Elasticsearch 6.3.2 およびカーネルバージョン 1.3.0 を使用する 6.7.0 向けのパッチもリリースしています。修正を適用するには、該当する Elasticsearch および Logstash インスタンスを変更してください。具体的な手順については、「対処手順」をご参照ください。
この対処計画は以下のとおりです。
Elasticsearch 5.5.3、5.6.16、6.3.2、および 6.7.0(カーネル バージョン 1.3.0)および Logstash 6.7 および 7.4 に適用されます。その他のバージョンでは、この修正は必要ありません。
クラスターを再起動するかブルーグリーンデプロイメントを実行して脆弱性を修正しても、オンラインサービスに影響はありません。ただし、これらの操作にはインスタンスの再起動が含まれるため、安定性を確保するため、オフピーク時間帯に実施することを推奨します。
推奨される対処スケジュール
2021 年 12 月 28 日から、すべてのリージョンでインスタンスへの修正適用が可能です。クラスターの安定性を考慮し、以下の表に示す推奨スケジュールに従って、各リージョンのインスタンスに修正を適用してください。
推奨変更スケジュール | リージョン | リージョン ID |
2021 年 12 月 28 日から | 中国 (上海) | cn-shanghai |
シンガポール | ap-southeast-1 | |
オーストラリア (シドニー) (廃止済み) | ap-southeast-2 | |
マレーシア (クアラルンプール) | ap-southeast-3 | |
インドネシア (ジャカルタ) | ap-southeast-5 | |
日本 (東京) | ap-northeast-1 | |
2021 年 12 月 29 日から | 中国 (杭州) | cn-hangzhou |
中国 (青島) | cn-qingdao | |
中国 (張家口) | cn-zhangjiakou | |
インド (ムンバイ) (廃止済み) | ap-south-1 | |
中国 (杭州) 金融 | cn-hangzhou-finance | |
中国 (上海) 金融 | cn-shanghai-finance-1 | |
中国 (北京) Gov 1 | cn-north-2-gov-1 | |
2021 年 12 月 30 日から | ドイツ (フランクフルト) | eu-central-1 |
米国 (バージニア) | us-east-1 | |
米国 (シリコンバレー) | us-west-1 | |
中国 (深セン) | cn-shenzhen | |
中国 (北京) | cn-beijing | |
中国 (香港) | cn-hongkong | |
イギリス (ロンドン) | eu-west-1 |
対処手順
Elasticsearch の対処手順
コンソールからインスタンスを再起動できます。インスタンスの [基本情報] ページで、右上隅の [再起動] をクリックします。[ロール別再起動] を選択し、Kibana および Nginx ノードを除くすべてのロールノードを選択して再起動し、その後 [ブルーグリーンデプロイメント] を選択します。変更が完了すると、脆弱性が修正されます。詳細については、「クラスターまたはノードの再起動」をご参照ください。
Logstash の対処手順
コンソールからインスタンスを再起動できます。インスタンスの [基本情報] ページで、右上隅の [再起動] をクリックします。[インスタンスの再起動] を選択します。変更が完了すると、脆弱性が修正されます。詳細については、「インスタンスまたはノードの再起動」をご参照ください。
警告Logstash ではブルーグリーンデプロイメントは必要ありません。ブルーグリーンデプロイメントはノードサーバーを置き換えるため、このポリシーを選択するとパイプライン内のデータが失われる可能性があります。