我们在关闭日志记录的情况下通过 AWS OpenSearch 运行 ElasticSearch 7.8。我们对 log4shell 是不是安全？

Posted 2023-03-22

【中文标题】我们在关闭日志记录的情况下通过 AWS OpenSearch 运行 ElasticSearch 7.8。我们对 log4shell 是不是安全？

【英文标题】：We're running ElasticSearch 7.8 through AWS OpenSearch with logging turned off. Were we safe from log4shell or not?我们在关闭日志记录的情况下通过 AWS OpenSearch 运行 ElasticSearch 7.8。我们对 log4shell 是否安全？

【发布时间】：2022-01-18 10:05:16

【问题描述】：

由于 Java 安全管理器设置，ElasticSearch 本身应该是安全的。无论如何，我们都没有使用日志记录，因此即使这些设置受到干扰，我们也可能不会向记录器发送任何内容。

但是亚马逊仍然为我们的实例发布了一个 log4j 补丁 - 几天后。补丁 (R20211203-P2) 可能只是升级到 log4j2.15。或者也许控制平面中还有其他一些我们看不到它正在保护的记录器？

我们尝试了包含常见漏洞利用字符串的请求，但没有看到任何请求到达我们的目标。

在补丁 R20211203-P2 到来之前我们安全吗？有谁知道 R20211203-P2 实际上做了什么？没有发行说明。

【参考方案1】：

Amazon OpenSearch Service 已发布关键服务软件更新 R20211203-P2，其中包含所有区域的更新版本 Log4j2。我们强烈建议客户尽快将其 OpenSearch 集群更新到此版本。

所以是的，我会尽快升级以防万一。