漏洞预警公告--Elasticsearch Groovy命令执行漏洞--严重漏洞
Dear all~
在2015年2月11日 官方发布针对Elasticsearch Groovy命令执行漏洞 的补丁之后,目前针对此漏洞的利用程序出现,成功利用漏洞后可提权至root权限.危害严重,各大安全平台已经收到多个此漏洞案例。请关注!
一、漏洞发布日期
2015年2月11日
二、已确认被成功利用的软件及系统
1.4:1.4.2,1.4.1,1.4.0,1.4.0.Beta1
1.3:1.3.7,1.3.6,1.3.5,1.3.4,1.3.3,1.3.2,1.3.1,1.3.0。
http://www.elasticsearch.com/blog/elasticsearch-1-4-3-1-3-8-released
三、漏洞描述
Elasticsearch的1.3.0-1.3.7和1.4.0-1.4.2
版本存在此漏洞。
该漏洞允许攻击者通过构造Groovy脚本来绕过沙盒检测,执行shell命令。
四、建议修复方案
建议升级到最新版本
Elasticsearch 1.4.3和1.3.8
http://www.elasticsearch.com/blog/elasticsearch-1-4-3-1-3-8-released
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
