Apache Log4j 2 被披露出存在严重代码执行漏洞,目前官方已发布正式安全公告及版本,漏洞编号:CVE-2021-44228,漏洞被利用可导致服务器被入侵等危害。 公司 ES 使用 Log4j 2 组件,存在安全问题,升级 ES 镜像中的 Log4j 2 版本解决该问题。
java 项目只用替换编译出来的 jar 包就可以。
进入 ES 容器,查找 log4j 版本,使用find 命令查找
docker run -it --user root devops-docker.pkg.codingcorp.net/coding-private/infra/elasticsearch:6.8.13.analysis.ik bash
find / -name log4j-core-*.jar
find / -name log4j-api-*.jar
如果版本小于 2.17.jar,就需要升级
elasticsearch
├── Dockerfile
├── static
│ ├── log4j-api-2.16.0.jar
│ └── log4j-core-2.16.0.jar
FROM devops-docker.pkg.codingcorp.net/coding-private/infra/elasticsearch:6.8.13.analysis.ik
USER root
COPY static/log4j-core-2.16.0.jar /opt/bitnami/elasticsearch/lib/
COPY static/log4j-api-2.16.0.jar /opt/bitnami/elasticsearch/lib/
RUN rm -rf /opt/bitnami/elasticsearch/lib/log4j-core-2.11.1.jar && rm -rf /opt/bitnami/elasticsearch/lib/log4j-api-2.11.1.jar
log4j 在每个 ES 镜像中位置不同,可以进入容器,使用find 命令查找
docker run -it --user root devops-docker.pkg.codingcorp.net/coding-private/infra/elasticsearch:6.8.13.analysis.ik bash
find / -name log4j-core-*.jar
find / -name log4j-api-*.jar
docker build . -t lusson:elasticsearch:6.8.13.analysis.ik.log4j