今天真的是焦头烂额,新出来的这个log4j2零日漏洞看起来杀伤力极大,影响了Apache Struts2, Apache Solr, Apache Druid, Apache Flink等重量级的开源项目。当然也包括我们的Elasticsearch。在官方正式的通告、解决方案,补丁出来之前,我这里先简答说一下我个人的测试结果(注意,不代表官方!)
划重点:
我个人的测试结果是:只有ES 5+JDK8能复现。ES 5+JDK12,ES 6+JDK8,ES 7+JDK8均无法进行远程代码执行
测试方案:
- 使用nc命令,查看网络连接情况,这里我监控的是1388接口: nc -l 1388
- 构造特殊查询,使ES打印出会访问1388端口的ldap语句:
// 输入代码内容
{
"query": {
"bool": {
"filter": {
"bool": {
"must": [
{
"term": {
"call_date": "${jndi:ldap://127.0.0.1:1388/a}"
}
}
]
}
}
}
}
}
- 然后查看特定端口会不会被连接
执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印,同时1388端口被连接
5.3.0 + JDK 12执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印,同时1388端口未被连接
5.6.16 + JDK 8执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印,同时1388端口被连接
5.6.16 + JDK 8 + -Dlog4j2.formatMsgNoLookups=true在config/jvm.options中添加-Dlog4j2.formatMsgNoLookups=true, 执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印,同时1388端口未被连接
5.6.16 + JDK 12执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印,同时1388端口未被连接
6.0.1 + JDK 8执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印,同时1388端口未被连接
6.0.1 + JDK 12执行测试方案,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 被打印,同时1388端口未被连接
7.14.1 + JDK 8执行方案有变,关键语句 ${jndi:ldap://127.0.0.1:1388/a} 通过slow log打印(在7.14上,之前的方案无法再触发runtime log的异常打印)。1388端口未被连接
测试结论在大家都普遍升级到5.x以上版本的今天,看起来log4j2零日漏洞对ES的影响并不大。而对于5.x版本的用户,使用-Dlog4j2.formatMsgNoLookups=true,就能避免这个问题(如果JDK本身就是8以上的版本,都不用重启)。但毕竟这次测试并没有过于深入,让我们静待官方最终的调查结果和方案吧
