近日,阿里云计算有限公司发现Apache Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知Apache软件基金会。本文为您介绍该漏洞的影响范围及相应的修复方案。

漏洞影响

该漏洞对Elasticsearch相关影响的详细信息,请参见Apache Log4j2 Remote Code Execution (RCE) Vulnerability - CVE-2021-44228 - ESA-2021-31Elasticsearch 5.0.0-5.6.10 and 6.0.0-6.3.2: Log4j CVE-2021-44228, CVE-2021-45046 remediation

阿里云Elasticsearch及相关服务受到影响的版本包括(未提到的版本不受影响):
  • Elasticsearch:5.5.3、5.6.16、6.3.2、6.7.0内核版本为1.3.0(6.7.0的其他内核版本不受影响)

    查看内核版本:参见查看实例的基本信息进入目标实例的基本信息页面,单击更新与升级,在对话框中选中更新内核补丁,即可查看该实例的内核版本。

  • Logstash:6.7、7.4

漏洞修复计划

用户侧配置优化方案

为了您的业务安全,请注意:
  • 尽量避免开启公网访问,如需开启请按最小原则配置IP白名单,具体操作请参见配置实例公网或私网访问白名单
  • 不要为集群安装任何非官方正式渠道来源的插件。

Elasticsearch产品侧修复方案

截止2021年12月28日,阿里云已更新发布Elasticsearch 5.5.3和5.6.16版本以及Logstash 6.7和7.4版本的相关版本patch。截止2022年1月19日,阿里云已更新发布Elasticsearch 6.3.2和6.7.0内核版本为1.3.0的相关版本patch。您需要对Elasticsearch及Logstash对应版本实例进行变更后完成修复,具体操作请参见修复流程

该修复方案:
  • 适用于Elasticsearch 5.5.3、5.6.16、6.3.2和6.7.0内核版本为1.3.0以及Logstash 6.7和7.4版本。其他版本无需修复。
  • 通过集群重启或蓝绿变更完成漏洞修复不会对线上业务造成影响,但由于涉及实例重启或蓝绿变更操作,因此建议在业务低峰期操作。

建议修复变更时间

2021年12月28日起,您可以对您所有地域下的实例进行变更修复。为了集群变更的稳定性,建议您按照下表中的建议变更时间,对各地域实例进行变更修复。
建议变更时间 地域 地域ID
2021年12月28日起 华东2(上海) cn-shanghai
新加坡(新加坡) ap-southeast-1
澳大利亚(悉尼) ap-southeast-2
马来西亚(吉隆坡) ap-southeast-3
印度尼西亚(雅加达) ap-southeast-5
日本(东京) ap-northeast-1
2021年12月29日起 华东1(杭州) cn-hangzhou
华北1(青岛) cn-qingdao
华北3(张家口) cn-zhangjiakou
印度(孟买) ap-south-1
华东1杭州金融云 cn-hangzhou-finance
华东2上海金融云 cn-shanghai-finance-1
华北2阿里政务云1 cn-north-2-gov-1
2021年12月30日起 德国(法兰克福) eu-central-1
美国(弗吉尼亚) us-east-1
美国(硅谷) us-west-1
华南1(深圳) cn-shenzhen
华北2(北京) cn-beijing
中国香港(香港) cn-hongkong
英国(伦敦) eu-west-1

修复流程

  • Elasticsearch修复流程

    通过控制台重启实例。在实例的基本信息页面,单击右上角的重启,选择角色节点重启以及要重启的角色节点(除Kibana、Nginx节点之外的所有节点),并选中蓝绿变更,变更完成后即可完成漏洞修复。具体操作请参见重启实例或节点

  • Logstash修复流程
    通过控制台重启实例。在实例的基本信息页面,单击右上角的重启,选择实例重启,变更完成后即可完成漏洞修复。具体操作请参见重启实例或节点
    注意 Logstash无须进行蓝绿变更。由于蓝绿变更会更换节点服务器,因此如果选择了蓝绿变更策略,由于管道内可能存在数据,更换机器后可能导致数据丢失。