@johtaniの日記 2nd

@johtani ‘s blog 2nd edition

Elasticsearch 1.5.2 および 1.4.5リリース(日本語訳)

※この記事は次のブログを翻訳したものになります。

原文:Elasticsearch 1.5.2 Released

本日(4/27)、Lucene 4.10.4ベースのElasticsearch 1.5.1およびElasticsearch 1.4.5 をセキュリティバグフィックス版をリリースしました。 ダウンロードおよびすべての変更については次のリンクをごらんください。

本リリースはディレクトリトラバーサルの脆弱性のフィックスです。すべてのユーザにアップグレードを勧めます。

過去のリリースに関するブログは以下のリンクを参照してください。

すべての1.5.2および1.4.5の変更についてはリンクをごらんください。以下では、セキュリティの問題について紹介します。

ディレクトリトラバーサル脆弱性の発見

1.5.2および1.4.5以前の全バージョンのElasticsearchで、ディレクトリトラバーサル攻撃に対する脆弱性がみつかりました。 攻撃者はElasticsearchを実行しているサーバからファイルを取得することができます。 この脆弱性はインストールしたばかりのElasticsearchには存在しません。 この脆弱性は”site plugin”がインストールされると露呈します。 ElasticのMarvelプラグインおよびコミュニティサポートの多くのプラグイン(例:Kopf、BigDesk、Head)がsite pluginです。 Elastic Shield、Licensing、Cloud-AWS、Cloud-GCE、Cloud-Azure、analysis pluginおよびriverプラグインはsite pluginではありません

この問題をCVE-2015-3337としました。

バージョン1.5.2と1.4.5はこの脆弱性に対して対策済みで、私たちはすべてのユーザにアップグレードを勧めています。

アップグレードを望まないユーザはいくつかの方法でこの脆弱性に対して対応可能ですが、これらの方法はsite pluginを動作させなくします。

  • site pluginをインストールしているノードのelasticsearch.ymlhttp.disable_sitestrueに設定し、Elasticsearchのノードを再起動
  • ファイアウォールもしくはプロキシを利用して、/_pluginへのHTTPリクエストをブロック
  • すべてのsite pluginをすべてのElasticsearchノードからアンインストール

この問題を報告していただいた、DocuSignのJohn Heasmanに感謝いたします。

他の変更について

いくつかの重要な変更がv1.4.5にバックポートされています。

ぜひ、Elasticsearch 1.5.2をダウンロードして、試してみてください。 そして、感想をTwitter(@elastic)などで教えて下さい。 また、問題がありましたら、GitHub issues pageで報告をお願いします。

Comments