Сегодня XenForo обратили внимание на то, что была обнаружена уязвимость в широко используемой библиотеке логирования Java Apache Log4j, которая легко эксплуатируется и позволяет злоумышленникам получить полный контроль над уязвимыми серверами.
Apache Log4j 2 используется во многих приложениях Java, включая Elasticsearch.
В настоящее время разработчики изучают, можно ли вообще использовать XenForo Enhanced Search в качестве вектора атаки, но это потенциально достаточно важно, чтобы проявлять осторожность.
Уязвимость,
Особенности того, как обойти это и затронуты ли вы, на удивление сложны, и если у вас есть другое программное обеспечение, которое использует Log4j, решения, вероятно, будут другими. Следующее в первую очередь относится только к Elasticsearch.
Временный фикс для Elasticsearch 6.4 и более поздних версий
Вы можете управлять поведением Log4j через файл
Затем вам необходимо перезапустить службу сервера elasticsearch, чтобы это изменение вступило в силу.
Если вы используете Elasticsearch версии 6.3 и ниже, обновите
Если вы используете версию Elasticsearch <= 6.3, она включает старую версию Log4j, что означает, что описанный выше обходной путь не будет работать. Обновление до более новой версии, вероятно, предпочтительнее, чем другие пути для обслуживания более старых версий. XenForo Enhanced Search поддерживает последние версии Elasticsearch.
Хотя это не полностью решит проблему, разработчики также рекомендуют убедиться, что Java JDK обновлен и настроен правильно.
Apache Log4j 2 используется во многих приложениях Java, включая Elasticsearch.
В настоящее время разработчики изучают, можно ли вообще использовать XenForo Enhanced Search в качестве вектора атаки, но это потенциально достаточно важно, чтобы проявлять осторожность.
Уязвимость,
У Вас недостаточно прав для просмотра ссылок.
Вход или Регистрация
, классифицируется как серьезная и позволяет выполнять удаленный код без аутентификации, поскольку пользователь, запускающий приложение, использует библиотеку логирования Java.Особенности того, как обойти это и затронуты ли вы, на удивление сложны, и если у вас есть другое программное обеспечение, которое использует Log4j, решения, вероятно, будут другими. Следующее в первую очередь относится только к Elasticsearch.
Временный фикс для Elasticsearch 6.4 и более поздних версий
Вы можете управлять поведением Log4j через файл
/etc/elasticsearch/jvm.options. Примечательно, что в настоящее время рекомендуется добавить следующую строку в конец этого файла:
Код:
-Dlog4j2.formatMsgNoLookups=trueЗатем вам необходимо перезапустить службу сервера elasticsearch, чтобы это изменение вступило в силу.
Если вы используете Elasticsearch версии 6.3 и ниже, обновите
Если вы используете версию Elasticsearch <= 6.3, она включает старую версию Log4j, что означает, что описанный выше обходной путь не будет работать. Обновление до более новой версии, вероятно, предпочтительнее, чем другие пути для обслуживания более старых версий. XenForo Enhanced Search поддерживает последние версии Elasticsearch.
Хотя это не полностью решит проблему, разработчики также рекомендуют убедиться, что Java JDK обновлен и настроен правильно.
