漏洞预警公告--Elasticsearch Groovy命令执行漏洞--严重漏洞-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文

漏洞预警公告--Elasticsearch Groovy命令执行漏洞--严重漏洞

少丰 2015-03-05 10:58:58 10447


Dear all~

在2015年2月11日 官方发布针对Elasticsearch Groovy命令执行漏洞 的补丁之后,目前针对此漏洞的利用程序出现,成功利用漏洞后可提权至root权限.危害严重,各大安全平台已经收到多个此漏洞案例。请关注!


一、漏洞发布日期  

2015年2月11日  

二、已确认被成功利用的软件及系统

1.4:1.4.2,1.4.1,1.4.0,1.4.0.Beta1
1.3:1.3.7,1.3.6,1.3.5,1.3.4,1.3.3,1.3.2,1.3.1,1.3.0。
http://www.elasticsearch.com/blog/elasticsearch-1-4-3-1-3-8-released

三、漏洞描述  

Elasticsearch的1.3.0-1.3.7和1.4.0-1.4.2 版本存在此漏洞。 该漏洞允许攻击者通过构造Groovy脚本来绕过沙盒检测,执行shell命令。  

四、建议修复方案


建议升级到最新版本
Elasticsearch 1.4.3和1.3.8
http://www.elasticsearch.com/blog/elasticsearch-1-4-3-1-3-8-released









安全 Shell
分享到
取消 提交回答
全部回答(0)
+ 订阅

云安全开发者的大本营

推荐文章
相似问题