Apache Log4j の脆弱性と Elasticsearch

Apache Log4j の脆弱性と Elasticsearch で必要な対応を調査したのでご紹介します。

Elasticsearch | エラスティックサーチ

背景 Apache Log4j の脆弱性対応

Apache Log4j の脆弱性については、Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた – piyolog をご一読ください。

影響無しとする製品情報もアップデートが進められており、Paloalto、Pulse Secure、SonicWall、ElasticSearchで影響を受ける製品は2021年12月13日時点で確認されていない。

Log4j 脆弱性の Elasticsearch への影響範囲

JDK8 以下の Elasticsearch を利用していなければ、問題なさそうでした。

Elasticsearch

Elasticsearch is not susceptible to remote code execution with this vulnerability due to our use of the Java Security Manager. Elasticsearch on JDK8 or below is susceptible to an information leak via DNS which is fixed by a simple JVM property change. The information leak does not permit access to data within the Elasticsearch cluster. We will also release a new version of Elasticsearch that contains the JVM property by default and removes certain components of Log4j out of an abundance of caution. Additional details below.

引用元: Apache Log4j2 Remote Code Execution (RCE) Vulnerability – CVE-2021-44228 – ESA-2021-31 – Announcements / Security Announcements – Discuss the Elastic Stack

以上、Apache Log4j の脆弱性と Elasticsearch への影響