漏洞预警公告--Elasticsearch Groovy命令执行漏洞--严重漏洞

Dear all~

在2015年2月11日 官方发布针对Elasticsearch Groovy命令执行漏洞 的补丁之后,目前针对此漏洞的利用程序出现,成功利用漏洞后可提权至root权限.危害严重,各大安全平台已经收到多个此漏洞案例。请关注!


一、漏洞发布日期  

2015年2月11日  

二、已确认被成功利用的软件及系统

1.4：1.4.2，1.4.1，1.4.0，1.4.0.Beta1
1.3：1.3.7，1.3.6，1.3.5，1.3.4，1.3.3，1.3.2，1.3.1，1.3.0。
http://www.elasticsearch.com/blog/elasticsearch-1-4-3-1-3-8-released

三、漏洞描述  

Elasticsearch的1.3.0-1.3.7和1.4.0-1.4.2 版本存在此漏洞。 该漏洞允许攻击者通过构造Groovy脚本来绕过沙盒检测，执行shell命令。  

四、建议修复方案


建议升级到最新版本
Elasticsearch 1.4.3和1.3.8
http://www.elasticsearch.com/blog/elasticsearch-1-4-3-1-3-8-released