昨日 Elastic 正式发布针对 5.4 Bug 的修复版本 Elasticsearch 5.4.1（基于 Lucene6.5.1 ），以及基于 Lucene6.4.2的 Elasticsearch 5.3.3。 Elasticsearch 5.4.1 是目前最新的稳定版本，在官方的 Elastic Cloud 上已可以直接部署和升级。此次发布包括两个安全补丁-- 所有 X-Pack Security 用户都应该升级。

5.4.x 相关链接：
Elasticsearch 5.4.1 下载地址
Elasticsearch 5.4.1 发行说明
Elasticsearch 5.4 重要改变
X-Pack 5.4.1 发行说明

5.3.x 相关链接:
Elasticsearch 5.3.3 下载地址
Elasticsearch 5.3.3 发行说明
Elasticsearch 5.3.3 重要改变
X-Pack 5.3.3 发行说明

你可以通过阅读上面的详细的发行说明来了解具体的发布内容，下面是一些重点摘要：

X-Pack Document Level Security and Aliases (ESA-2017-09) 

X-Pack 安全组件在版本 5.4.1 和 5.3.3 之前对于索引别名的文档层面的安全设置存在漏洞，这个 bug 允许单个用户在特定的操作下能通过别名查看未经允许的数据。

影响版本
X-Pack Security 从 5.0.0 到 5.4.0 都受影响。

解决方案
所有 X-Pack 安全组件的用户升级到 5.3.3 或者 5.4.1。如果不能升级，通过禁用索引层面的 request cache 可以临时解决这个问题。

CVE ID: CVE-2017-8441

 
X-Pack Privilege Escalation (ESA-2017-06)

修复 run_as 功能存在的一个特权扩大的bug。正常情况下，当使用run_as执行某些操作会以特定的身份来执行，这个bug 让用户无法正常转换为 run_as 指定的用户身份，从而导致查询失败和结果异常。

如果你不使用 run_as 功能或 _user 属性，则不受此bug影响。

影响版本
X-Pack Security 从 5.0.0 到 5.4.0 都受影响。

解决方案
建议升级 Elastic Stack 到 5.4.1，如果不能升级，请移除模板里面的 {{_user.username}} 占位符并确保 run_as 设置不会被不可信用户修改。

CVE ID: CVE-2017-8438


其它重要变化:

1. 修复 bug，单分片进行 scroll 操作可能引起 X-Pack Security 造成节点僵死及 OOM。
2. Elasticsearch 5.4.0 启用 TLS 不能对 5.3.x 和之前的节点进行认证。
3. LDAP 认证用户在撤销认证之后后可能任然驻留在缓存。
4. 现在，Netty在处理线程池、缓冲池和其他资源时，尊重处理器的设置，而不是在其他容器上运行时，可能会对这些资源进行过度的调整。
5. 对关闭的索引进行 Index setting 修改将进行验证，保护因为错误的配置造成索引无法打开的问题。
6. 修复 TransportClient 关于嗅探可能造成客户端挂起的异常。
7. 修复在KERBEROS安全模式，HDFS repository 插件与 Java Security Manager 发生的冲突。
8. 修复 Snapshot/restore 在 Elasticsearch 5.2.x 及之前的版本在取回所有快照时异常缓慢的问题。

 
最后，请下载和试用最新的 Elasticsearch 5.4.1，欢迎前往GitHub issue反馈任何遇到的问题。