Alibaba Cloud Computing Co., Ltd. は、最近 Apache Log4j 2 にリモートコード実行(RCE)の脆弱性を発見し、この脆弱性を Apache に報告しました。このトピックでは、脆弱性の影響と脆弱性への対応策について説明します。
影響
Elasticsearch への脆弱性の影響の詳細については、「Apache Log4j2 Remote Code Execution (RCE) Vulnerability - CVE-2021-44228 - ESA-2021-31」および「Elasticsearch 5.0.0-5.6.10 and 6.0.0-6.3.2: Log4j CVE-2021-44228, CVE-2021-45046 remediation」をご参照ください。
この脆弱性は、Alibaba Cloud Elasticsearch クラスタと Logstash クラスタの以下のバージョンに影響を与えます。
Elasticsearch: V5.5.3、V5.6.16、V6.3.2、および V6.7.0(カーネルバージョン V1.3.0)
Elasticsearch クラスターのカーネルバージョンを表示するには、「クラスターの基本情報を表示する」に記載されている手順に従って、クラスターの [基本情報] ページに移動し、ページの右上隅にある [更新とアップグレード] をクリックします。表示されるダイアログボックスで、[カーネルパッチの更新] を選択します。これで、クラスターのカーネルバージョンを表示できます。
Logstash: V6.7 および V7.4
対応策
クライアント側の構成最適化ソリューション
ビジネスのセキュリティを確保するために、以下の項目に注意する必要があります。
Elasticsearch クラスタの [パブリックネットワークアクセス] 機能を有効にしないことをお勧めします。この機能を有効にする必要がある場合は、クラスタのパブリック IP アドレスホワイトリストを構成し、Elasticsearch クラスタへのアクセスに使用する必要がある IP アドレスのみをホワイトリストに追加します。詳細については、「Elasticsearch クラスタのパブリックまたはプライベート IP アドレスホワイトリストを構成する」をご参照ください。
公式 Web サイトで提供されていないプラグインを Elasticsearch クラスタにインストールしないでください。
Alibaba Cloud Elasticsearch のソリューション
2021 年 12 月 28 日現在、Alibaba Cloud は Elasticsearch V5.5.3、Elasticsearch V5.6.16、Logstash V6.7、および Logstash V7.4 のパッチをリリースしています。 2022 年 1 月 19 日現在、Alibaba Cloud は Elasticsearch V6.3.2 および Elasticsearch V6.7.0(カーネルバージョン V1.3.0)のパッチをリリースしています。脆弱性を修正するには、関連バージョンの Elasticsearch または Logstash クラスタを再起動する必要があります。詳細については、「手順」をご参照ください。
このソリューションを使用する際には、以下の項目に注意してください。
このソリューションは、Elasticsearch V5.5.3、Elasticsearch V5.6.16、Elasticsearch V6.3.2、Elasticsearch V6.7.0(カーネルバージョン V1.3.0)、Logstash V6.7、および Logstash V7.4 にのみ適しています。
クラスタを再起動するか、ブルーグリーンアップデート方式を使用して脆弱性を修正する場合、オンラインビジネスは影響を受けません。ただし、それでも、クラスタの再起動またはブルーグリーンアップデートは、オフピーク時に行うことをお勧めします。
推奨される更新時間
2021 年 12 月 28 日から、次の表にリストされているリージョンにあるすべてのクラスタを更新して、脆弱性を修正できます。クラスタの安定性を確保するために、次の表にリストされている推奨時間範囲内でクラスタを更新することをお勧めします。
推奨される更新時間 | リージョン名 | リージョン ID |
2021 年 12 月 28 日から | 中国 (上海) | cn-shanghai |
シンガポール | ap-southeast-1 | |
オーストラリア (シドニー) 閉鎖 | ap-southeast-2 | |
マレーシア (クアラルンプール) | ap-southeast-3 | |
インドネシア (ジャカルタ) | ap-southeast-5 | |
日本 (東京) | ap-northeast-1 | |
2021 年 12 月 29 日から | 中国 (杭州) | cn-hangzhou |
中国 (青島) | cn-qingdao | |
中国 (張家口) | cn-zhangjiakou | |
インド (ムンバイ) 閉鎖 | ap-south-1 | |
中国東部 1 ファイナンス | cn-hangzhou-finance | |
中国東部 2 ファイナンス | cn-shanghai-finance-1 | |
中国北部 2 Ali Gov 1 | cn-north-2-gov-1 | |
2021 年 12 月 30 日から | ドイツ (フランクフルト) | eu-central-1 |
米国 (バージニア) | us-east-1 | |
米国 (シリコンバレー) | us-west-1 | |
中国 (深圳) | cn-shenzhen | |
中国 (北京) | cn-beijing | |
中国 (香港) | cn-hongkong | |
英国 (ロンドン) | eu-west-1 |
手順
Elasticsearch クラスタの脆弱性を修正する
Elasticsearch コンソールでクラスタを再起動します。 Elasticsearch コンソールにログインし、クラスタの [基本情報] ページに移動します。 [基本情報] ページで、右上隅にある [再起動] をクリックします。 [再起動] ダイアログボックスで、[オブジェクト] に [ノードロール] を選択し、[ノード] ドロップダウンリストから再起動するノードのタイプを選択し、[ブルーグリーンリリースの変更] を選択します。選択できるノードのタイプには、Kibana ノードと NGINX ノードは含まれません。次に、[OK] をクリックします。クラスタが再起動されると、クラスタの脆弱性が修正されます。詳細については、「クラスタまたはノードを再起動する」をご参照ください。
Logstash クラスタの脆弱性を修正する
Elasticsearch コンソールでクラスタを再起動します。 Elasticsearch コンソールにログインし、クラスタの [基本情報] ページに移動します。 [基本情報] ページで、右上隅にある [再起動] をクリックします。 [再起動] ダイアログボックスで、[オブジェクト] に [クラスタ] を選択し、[OK] をクリックします。クラスタが再起動されると、クラスタの脆弱性が修正されます。詳細については、「クラスタまたはノードを再起動する」をご参照ください。
警告Logstash クラスタでは、ブルーグリーンアップデートは不要です。クラスタのブルーグリーンアップデートを実行すると、クラスタ内のノードが変更されます。 Logstash クラスタの再起動時に [ブルーグリーンリリースの変更] を選択すると、再起動後にクラスタのパイプライン内のデータが失われる可能性があります。