Apache Log4j の脆弱性と Elasticsearch で必要な対応を調査したのでご紹介します。
背景 Apache Log4j の脆弱性対応
Apache Log4j の脆弱性については、Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog をご一読ください。
影響無しとする製品情報もアップデートが進められており、Paloalto、Pulse Secure、SonicWall、ElasticSearchで影響を受ける製品は2021年12月13日時点で確認されていない。
Log4j 脆弱性の Elasticsearch への影響範囲
JDK8 以下の Elasticsearch を利用していなければ、問題なさそうでした。
ElasticsearchElasticsearch is not susceptible to remote code execution with this vulnerability due to our use of the Java Security Manager. Elasticsearch on JDK8 or below is susceptible to an information leak via DNS which is fixed by a simple JVM property change. The information leak does not permit access to data within the Elasticsearch cluster. We will also release a new version of Elasticsearch that contains the JVM property by default and removes certain components of Log4j out of an abundance of caution. Additional details below.
以上、Apache Log4j の脆弱性と Elasticsearch への影響