ELK 7.6.2 修补log4j核弹级漏洞

Apache Log4j 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。

由于 Apache Log4j 某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。

漏洞危害

漏洞利用无需特殊配置，攻击者可直接构造恶意请求，触发远程代码执行漏洞。

Kibana、Beats 不受任何影响。

Elasticsearch、Logstash 受到漏洞影响，需要紧急修复（尤其外网对外提供服务的集群）。

1.elasticsearch7.6.2 修补log4j漏洞

找到安装配置目录：/etc/elasticsearch/的 jvm.options文件添加

-Dlog4j2.formatMsgNoLookups=true

重新启动elasticsearch服务

systemctl restart elasticsearch

2.logstash7.6.2 修补log4j漏洞

查找log4j*.jar文件

find / -name log4j*.jar

cd /usr/share/logstash/logstash-core/lib/jars

备份log4j-core-2.12.1.jar 包,把jar 移动到log4j文件夹里面，jar命令解压log4j-core-2.12.1.jar ,并删除log4j-core-2.12.1.jar文件。

cp log4j-core-2.12.1.jar log4j-core-2.12.1-back.jar

mkdir log4j

mv log4j-core-2.12.1.jar ./log4j

cd log4j

jar -xvf log4j-core-2.12.1.jar

rm -rf log4j-core-2.12.1.jar

删除log4j-core-2.12.1.jar 的 JndiLoo.class 漏洞类，重新jar打包，把新的log4j-core-2.12.1.jar拷贝到原来的目录里面覆盖老的jar。

rm -rf org/apache/logging/log4j/core/lookup/JndiLoo.class

jar -cvf log4j-core-2.12.1.jar ./

cp log4j-core-2.12.1.jar ../

重新启动logstash服务

systemctl restart logstash