适配Apache Log4j2更新，发布Elasticsearch和Logstash的7.16.2和6.8.22版本

我们很高兴地宣布 Elasticsearch（7.16.2） 和 Logstash（6.8.22） 的新版本发布，本次发布将升级到最新版本的 Apache Log4j 2.17.0，并解决一些漏洞扫描器的误报问题。Elastic 还会通过我们的咨询主页保持持续更新，以确保我们的客户和社区能够及时了解最新发展。

12 月 10 日开始，Apache Log4j 漏洞 - CVE-2021-44228的公开披露，影响了多个采用了这个流行开源日志记录框架的基于 Java的自定义和商业应用程序。这个漏洞影响到 Log4j2 的 2.0-beta9 到 2.14.1 版本，并且已经被一些国家黑客组织和勒索软件组织利用，例如 APT35 和 Hafnium。谷歌使用Open Source Insights 进行的研究估计，截至 12 月 16 日，超过 35,000 个包（超过 Maven 中央存储库的 8%）受到最近披露的漏洞的影响。

Apache Log4j 在 Log4j 版本 2.15.0 中发布了对这个初始漏洞的修复。然而，修复并不完整，并导致潜在的 DoS 和数据泄露漏洞，记录为CVE-2021-45046。这个新漏洞在 Log4j2 版本 2.16.0 中得到修复。然而，版本 2.16.0 本身也被发现容易受到另一个 DoS 漏洞的攻击，这也导致新的CVE-2021-45105和 Apache Log4j2 版本 2.17.0 的最终发布。

在我们的咨询帖子中，我们确定了几种对 Elasticsearch 和 Logstash 版本有效的缓解措施，即使在使用易受攻击的 Log4j 版本时，这些缓解措施也是有效的。Elasticsearch 和 Logstash 版本 7.16.1 和 6.8.21 也完全缓解了 CVE-2021-44228 和 CVE-2021-45046。尽管这些版本提供了针对所有已知漏洞利用手段的全面保护，但它们可能会在仅查看 Log4j 依赖项版本的漏洞扫描器中触发误报。我们理解，虽然这可能不会导致风险，但一些客户可能仍会担心合规性影响。

发布Elasticsearch 7.16.2 和 Logstash 6.8.22

今天，我们很高兴地宣布推出新版本的 Elasticsearch 和 Logstash，分别是 7.16.2 和 6.8.22，它们将 Apache Log4j2 升级到版本 2.17.0。我们还保留了 7.16.1 和 6.8.21 中提供的缓解措施。针对 7.16.2 和 6.8.22 中交付的 Log4j 缓解措施的总和包括：

1. Log4j 升级到 2.17.0 版本
2. JndiLookup 类被完全删除，以消除 JNDI Lookup 功能提供的攻击手段和类似漏洞的相关风险
3. log4j2.formatMsgNoLookups=true 设置为禁用

请参阅 Elastic咨询页面以了解所有 Elastic 产品和相关缓解措施的最新信息。

虽然修补系统是对抗这些漏洞的最佳方法，但在某些情况下，修补可能会因依赖项或潜伏在环境中的非托管/历史遗留系统而难以完全实施。Elastic Security 用户还可以利用检测和事件关联的强大功能，使用 Elastic Endpoint、Auditbeat 和威胁搜寻功能来识别环境中对 Log4j2 漏洞的任何主动利用。请参阅有关此主题的Elastic博客以了解 Elastic 如何提供帮助。

现有的 Elastic Security 可以访问产品中的这些功能。如果您不熟悉 Elastic Security，请查看我们的快速入门指南（可一口气快速看完的培训视频，让您快速入门）或我们的免费基础知识培训课程。请参阅官方文档以了解如何升级Elasticsearch和Logstash部署。您可以通过Elastic Cloud 的 14 天免费试用版或者免费下载Elastic Stack 的自部署版本来开始试用。

参考资料

https://logging.apache.org/log4j/2.x/security.html

https://security.googleblog.com/2021/12/understanding-impact-of-apache-log4j.html

https://www.bleepingcomputer.com/news/security/log4j-vulnerability-now-used-by-state-backed-hackers-access-brokers/

https://thehackernews.com/2021/12/hackers-begin-exploiting-second-log4j.html

https://www.cert.govt.nz/it-specialists/advisories/log4j-rce-0-day-actively-exploited/

https://www.zdnet.com/article/cisa-orders-federal-agencies-to-mitigate-log4j-vulnerabilities-in-emergency-directive/