Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ແຈ້ງເຕືອນ ຊ່ອງໂຫວ່ Zero-day ຂອງ log4j ກະທົບ Elasticsearch, Logstash ພ້ອມຄຳແນະນຳ ລະຫວ່າງລໍຖ້າ ແພັດ (Patch)

ແຈ້ງເຕືອນ ຊ່ອງໂຫວ່ Zero-day ຂອງ log4j ກະທົບ Elasticsearch, Logstash ພ້ອມຄຳແນະນຳ ລະຫວ່າງລໍຖ້າ ແພັດ (Patch)

     ຊ່ອງ​ໂຫວ່ zero-day ຂອງ log4j ທີ່ຖືກປ່ອຍອອກມາຫລ້າສຸດນັ້ນ ໄດ້ເລີ່ມສົ່ງຜົນກະທົບເປັນກວ້າງ ເນື່ອງ​ຈາກ​ເປັນ​ໄລ​ບ​ຣາ​ຣີ (library) ​ທີ່​ໄດ້ຮັບ​ຄວາມ​ນິຍົມ​ໃນ​ພາສາ Java ແລະ ​ເປັນ​ຊ່ອງ​ໂຫວ່​ຮ້າຍແຮງ​ ເຮັດໃຫ້​ຜູ້​ພັດທະນາ​ໂຄງ​ການ​ຫຼາຍ​ຢ່າງ​ທີ່​ໃຊ້ Java ຕ້ອງ​ວາງ​ແຜນ​ໃນ​ການ​ອອກ​ອັບເກຣດຊອບແວ ເພື່ອແກ້ໄຂບັນຫານີ້ໃຫ້​ໄວ​ທີ່ສຸດ.

     ຫລ້າສຸດ Elastic ຜູ້​ພັດທະນາຊອບແວ Elastic Stack ທີ່​ນິຍົມ​ໃຊ້​ໃນການ​ມໍ​ນິ​ເຕີ ​ໄດ້​ອອກ​ປະ​ກາ​ດລາຍ​ລະອຽດ​ຜົນ​ກະທົບ​ຂອງ​ຜະລິດຕະພັນ​ແລ້ວ ພ້ອມ​ຄຳ​ແນະ​ນຳ​ໃນ​ການ​ລຸດຜ່ອນ​ຊ່ອງ​ໂຫວ່​ລະຫວ່າງ​ລໍຖ້າການແພັດ (Patch) ໂດຍ​ຫຼັງ​ຈາກ​ກວດ​ສອບ​ແລ້ວ​ພົບວ່າ​ ຜະລິດຕະພັນ ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ຄື Elasticsearch, Logstash ແລະ APM Java Agent ມີ​ລາຍ​ລະອຽດ​ດັ່ງ​ນີ້:

     ສຳລັບ Elasticsearch ໃນ​ລາຍ​ງານ​ລະ​ບຸ​ວ່າ ​ກະທົບ​ຕັ້ງ​ແຕ່ເວີຊັ່ນ 5.0.0 ຂື້ນ​ໄປ ແຕ່​ເນື່ອງ​ຈາກ Elastic ໃຊ້​ລະບົບ Java Security Manager ຢູ່​ແລ້ວ ເຮັດໃຫ້​ໂອ​ກາດ​ໃນ​ການ​ຣັນ​ໂຄ້​ດ​ຜ່ານ​ຊ່ອງ​ໂຫວ່​ນີ້​ບໍ່​ງ່າຍ ຖື​ເປັນ​ການ​ລຸດຜ່ອນ​ຄວາມ​ຮ້າຍແຮງ​ຂອງ​ຊ່ອງ​ໂຫວ່​ນີ້​ໄປ​ໃນ​ຕົວ ແຕ່​ເພື່ອ​ປ້ອງ​ກັນ​ບັນຫາ Elastic ຈຶ່ງ​ແນະ​ນຳ ​ໃຫ້​ໃສ່ JVM Options -Dlog4j2.formatMsgNoLookups=true ໄວ້​ກ່ອນ ​ລະຫວ່າງລໍຖ້າອັບເດດ ຊຶ່ງທາງ Elastic ລະ​ບຸ​ວ່າ ​ຈະ​ອອກ Elasticsearch ເວີຊັ່ນ 6.8.21 ແລະ 7.16.1 ເພື່ອ​ແກ້​ບັນຫາ​ໃນໄວໆນີ້.

     ສ່ວນ Logstash ຖ້າ​ໃຊ້ເວີຊັ່ນ 6.8.x ແລະ 7.x ຫຼື ​ໃໝ່​ກວ່າ ເມື່ອ​ຄອນ​ຟິກ​ໃຫ້​ໃຊ້ JDK ທີ່​ຕ່ຳ​ກວ່າ 8u191 ແລະ 11.0.1 ຈະ​ມີ​ຄວາມ​ສ່ຽງ​ສູງ​ ເພາະ​ເປີດ​ໃຫ້​ໂຫລດ class ຂອງ Java ຈາກ​ໄລ​ຍະ​ໄກ​ໄດ້ ແຕ່ Logstash ທີ່​ໃຊ້ JDK ເວີຊັ່ນ​ໃໝ່ ຈະ​ຫລຸດ​ຄວາມ​ສ່ຽງ​ຢູ່​ຈຸດ​ນີ້​ໄດ້ (ແຕ່​ກໍ​ຍັງມີ​ຄວາມ​ສ່ຽງ​ຢູ່ ​ຫາກ​ຖືກໂຈມຕີໂດຍ DoS) ສ່ວນ​ວິທີ​ແກ້​ບັນຫາ ເນື່ອງ​ຈາກ JVM Options -Dlog4j2.formatMsgNoLookups=true ໃຊ້​ບໍ່​ໄດ້ (ເພາະ Logstash ຕັ້ງຄ່າ log4j ໃຫ້​ບໍ່​ອ່ານ flag) ຈຶ່ງ​ຕ້ອງ​ລົບຄາສ JndiLookup ອອກຈາກ log4j2 core jar ແທນ ໂດຍ​ໃຊ້​ຄຳສັ່ງ​:
zip -q -d /logstash-core/lib/jars/log4j-core-2.*
org/apache/logging/log4j/core/lookup/JndiLookup.class

     ເບື້ອງ APM Java Agent ກະທົບ​ຕັ້ງ​ແຕ່​ເວີຊັ່ນ 1.17.0-1.28.0 ແລະ​ ອອກ​ອັບ​ເດດເວີຊັ່ນ 1.28.1 ເພື່ອ​ແກ້​ບັນຫາ​ແລ້ວ ໂດຍ Elastic ແນະ​ນຳ​ໃຫ້​ຜູ້​ໃຊ້​ອັບ​ເກຣດ​ໄປ​ເປັນ​ເວີຊັ່ນ​ຖັດ​ໄປ ແຕ່​ຖ້າ​ຍັງ​ບໍ່​ສາມາດ​ອັບ​ເກຣດ​ໄດ້ ແນະ​ນຳ​ໃຫ້​ຜູ້​ໃຊ້ຫລຸດຜ່ອນ​ດ້ວຍ​ການ​ໃສ່ -Dlog4j2.formatMsgNoLookups=true ໄປ​ກ່ອນ​ໄດ້ ຊຶ່ງ​ຊ່ອງ​ໂຫວ່​ນີ້​ ຈະ​ກະທົບ​ສະເພາະ​ເມື່ອ​ກຳນົດ log_level=trace ແລະ ​ໃຊ້​ແບບ​ເປັນ PLAIN_TEXT ເທົ່າ​ນັ້ນ.

ລາຍ​ລະອຽດ​ກ່ຽວກັບ​ຜະລິດຕະພັນ​ອື່ນໆ

  • Elastic Cloud, Elastic Cloud Enterprise ແລະ Swiftype ຈາກ​ການ​ກວດ​ສອບ​ເບື້ອງ​ຕົ້ນ ​ຍັງ​ບໍ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ ແຕ່​ຈະ​ອັບ​ເດດ log4j ເປັນ​ເວີຊັ່ນ​ໃໝ່​ໃຫ້​ໄວ​ທີ່ສຸດ.
  • Elastic Cloud on Kubernetes ບໍ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ໂດຍ​ກົງ ແຕ່​ Elasticsearch ທີ່​ຢູ່​ພາຍໃຕ້​ການ​ຈັດການ​ຂອງ ECK ຄວນ​ຕັ້ງ​ຄ່າ ​ເພື່ອ​ລຸດ​ຜົນ​ກະທົບ​ຕາມ​ທີ່​ລະ​ບຸ​ໄວ້​ຂ້າງ​ຕົ້ນ.
  • APM Server, Beats, Cmd, Elastic Endgame, Elastic Map Service, Endpoint Security, Enterprise Search, Kibana ແລະ Machine Learning ບໍ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ.

ການອັບ​ເດດເພີ່ມເຕີມ Elastic  ລະ​ບຸ​ວ່າ ແນະ​ນຳໃຫ້ຕິດຕາມໄດ້ຜ່ານຊ່ອງທາງ Security Announcement.

ເອກະສານອ້າງອີງ:

  1. https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
  2. https://www.blognone.com/node/126276

 





ລາຍການຮູບ

Porher 19 December 2021 4,819 Print