开发者社区> 问答> 正文

漏洞预警公告--Elasticsearch Groovy命令执行漏洞--严重漏洞



Dear all~

在2015年2月11日 官方发布针对Elasticsearch Groovy命令执行漏洞 的补丁之后,目前针对此漏洞的利用程序出现,成功利用漏洞后可提权至root权限.危害严重,各大安全平台已经收到多个此漏洞案例。请关注!


一、漏洞发布日期  

2015年2月11日  

二、已确认被成功利用的软件及系统

1.4:1.4.2,1.4.1,1.4.0,1.4.0.Beta1
1.3:1.3.7,1.3.6,1.3.5,1.3.4,1.3.3,1.3.2,1.3.1,1.3.0。
http://www.elasticsearch.com/blog/elasticsearch-1-4-3-1-3-8-released

三、漏洞描述  

Elasticsearch的1.3.0-1.3.7和1.4.0-1.4.2 版本存在此漏洞。 该漏洞允许攻击者通过构造Groovy脚本来绕过沙盒检测,执行shell命令。  

四、建议修复方案


建议升级到最新版本
Elasticsearch 1.4.3和1.3.8
http://www.elasticsearch.com/blog/elasticsearch-1-4-3-1-3-8-released









展开
收起
少丰 2015-03-05 10:58:58 11812 0
0 条回答
写回答
取消 提交回答
问答排行榜
最热
最新

相关电子书

更多
阿里云Elasticsearch体系架构与特性解析 立即下载
开源与云:Elasticsearch应用剖析 立即下载
《Elasticsearch全观测解决方案》 立即下载