昨日 Elastic 正式发布针对 5.4 Bug 的修复版本 Elasticsearch 5.4.1(基于 Lucene6.5.1 ),以及基于 Lucene6.4.2的 Elasticsearch 5.3.3。 Elasticsearch 5.4.1 是目前最新的稳定版本,在官方的 Elastic Cloud 上已可以直接部署和升级。此次发布包括两个安全补丁-- 所有 X-Pack Security 用户都应该升级。
5.4.x 相关链接:
Elasticsearch 5.4.1 下载地址
Elasticsearch 5.4.1 发行说明
Elasticsearch 5.4 重要改变
X-Pack 5.4.1 发行说明
5.3.x 相关链接:
Elasticsearch 5.3.3 下载地址
Elasticsearch 5.3.3 发行说明
Elasticsearch 5.3.3 重要改变
X-Pack 5.3.3 发行说明
你可以通过阅读上面的详细的发行说明来了解具体的发布内容,下面是一些重点摘要:
X-Pack Document Level Security and Aliases (ESA-2017-09)
X-Pack 安全组件在版本 5.4.1 和 5.3.3 之前对于索引别名的文档层面的安全设置存在漏洞,这个 bug 允许单个用户在特定的操作下能通过别名查看未经允许的数据。
影响版本
X-Pack Security 从 5.0.0 到 5.4.0 都受影响。
解决方案
所有 X-Pack 安全组件的用户升级到 5.3.3 或者 5.4.1。如果不能升级,通过禁用索引层面的 request cache 可以临时解决这个问题。
CVE ID: CVE-2017-8441
X-Pack Privilege Escalation (ESA-2017-06)
修复 run_as 功能存在的一个特权扩大的bug。正常情况下,当使用run_as执行某些操作会以特定的身份来执行,这个bug 让用户无法正常转换为 run_as 指定的用户身份,从而导致查询失败和结果异常。
如果你不使用 run_as 功能或 _user 属性,则不受此bug影响。
影响版本
X-Pack Security 从 5.0.0 到 5.4.0 都受影响。
解决方案
建议升级 Elastic Stack 到 5.4.1,如果不能升级,请移除模板里面的 {{_user.username}} 占位符并确保 run_as 设置不会被不可信用户修改。
CVE ID: CVE-2017-8438
其它重要变化:
最后,请下载和试用最新的 Elasticsearch 5.4.1,欢迎前往GitHub issue反馈任何遇到的问题。
5.4.x 相关链接:
Elasticsearch 5.4.1 下载地址
Elasticsearch 5.4.1 发行说明
Elasticsearch 5.4 重要改变
X-Pack 5.4.1 发行说明
5.3.x 相关链接:
Elasticsearch 5.3.3 下载地址
Elasticsearch 5.3.3 发行说明
Elasticsearch 5.3.3 重要改变
X-Pack 5.3.3 发行说明
你可以通过阅读上面的详细的发行说明来了解具体的发布内容,下面是一些重点摘要:
X-Pack Document Level Security and Aliases (ESA-2017-09)
X-Pack 安全组件在版本 5.4.1 和 5.3.3 之前对于索引别名的文档层面的安全设置存在漏洞,这个 bug 允许单个用户在特定的操作下能通过别名查看未经允许的数据。
影响版本
X-Pack Security 从 5.0.0 到 5.4.0 都受影响。
解决方案
所有 X-Pack 安全组件的用户升级到 5.3.3 或者 5.4.1。如果不能升级,通过禁用索引层面的 request cache 可以临时解决这个问题。
CVE ID: CVE-2017-8441
X-Pack Privilege Escalation (ESA-2017-06)
修复 run_as 功能存在的一个特权扩大的bug。正常情况下,当使用run_as执行某些操作会以特定的身份来执行,这个bug 让用户无法正常转换为 run_as 指定的用户身份,从而导致查询失败和结果异常。
如果你不使用 run_as 功能或 _user 属性,则不受此bug影响。
影响版本
X-Pack Security 从 5.0.0 到 5.4.0 都受影响。
解决方案
建议升级 Elastic Stack 到 5.4.1,如果不能升级,请移除模板里面的 {{_user.username}} 占位符并确保 run_as 设置不会被不可信用户修改。
CVE ID: CVE-2017-8438
其它重要变化:
- 修复 bug,单分片进行 scroll 操作可能引起 X-Pack Security 造成节点僵死及 OOM。
- Elasticsearch 5.4.0 启用 TLS 不能对 5.3.x 和之前的节点进行认证。
- LDAP 认证用户在撤销认证之后后可能任然驻留在缓存。
- 现在,Netty在处理线程池、缓冲池和其他资源时,尊重处理器的设置,而不是在其他容器上运行时,可能会对这些资源进行过度的调整。
- 对关闭的索引进行 Index setting 修改将进行验证,保护因为错误的配置造成索引无法打开的问题。
- 修复 TransportClient 关于嗅探可能造成客户端挂起的异常。
- 修复在KERBEROS安全模式,HDFS repository 插件与 Java Security Manager 发生的冲突。
- 修复 Snapshot/restore 在 Elasticsearch 5.2.x 及之前的版本在取回所有快照时异常缓慢的问题。
最后,请下载和试用最新的 Elasticsearch 5.4.1,欢迎前往GitHub issue反馈任何遇到的问题。
[尊重社区原创,转载请保留或注明出处]
本文地址:http://elasticsearch.cn/article/183
本文地址:http://elasticsearch.cn/article/183
