转载

ELK 7.6.2 修补log4j核弹级漏洞


Apache Log4j 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。

由于 Apache Log4j 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

在ELK日志系统中,Kibana、Beats 不受任何影响。

Elasticsearch、Logstash 受到漏洞影响,需要紧急修复(尤其外网对外提供服务的集群)。

1.elasticsearch7.6.2 修补log4j漏洞

找到安装配置目录:/etc/elasticsearch/的 jvm.options文件添加

-Dlog4j2.formatMsgNoLookups=true

重新启动elasticsearch服务

systemctl restart elasticsearch

2.logstash7.6.2 修补log4j漏洞

查找log4j*.jar文件

find / -name log4j*.jar

cd /usr/share/logstash/logstash-core/lib/jars

备份log4j-core-2.12.1.jar 包,把jar 移动到log4j文件夹里面,jar命令解压log4j-core-2.12.1.jar ,并删除log4j-core-2.12.1.jar文件。

cp log4j-core-2.12.1.jar log4j-core-2.12.1-back.jar

mkdir log4j

mv log4j-core-2.12.1.jar ./log4j

cd log4j

jar -xvf log4j-core-2.12.1.jar

rm -rf log4j-core-2.12.1.jar

删除log4j-core-2.12.1.jar 的 JndiLoo.class 漏洞类,重新jar打包,把新的log4j-core-2.12.1.jar拷贝到原来的目录里面覆盖老的jar。

rm -rf org/apache/logging/log4j/core/lookup/JndiLoo.class

jar -cvf log4j-core-2.12.1.jar ./

cp log4j-core-2.12.1.jar ../

重新启动logstash服务

systemctl restart logstash

转载来源

本文转载自ELK 7.6.2 修补log4j核弹级漏洞

CentOS

评论