¿Puede Elasticsearch recargar en caliente log4j2.properties?
Tengo un Elasticsearch de producción que utiliza log4j y es vulnerable.
./lib/log4j-api-2.11.1.jar
./lib/log4j-core-2.11.1.jar
Debido a que es un entorno de producción, no quiero reiniciarlo. Vi que alguien dijo que se podría recargar en caliente de la siguiente manera:
aún puedes mitigarlo en esos casos reemplazando %m, %msg y %message en log4j2.xml con %m{nolookups} en su lugar
En mi caso, utiliza log4j2.properties, hay una línea como la siguiente:
appender.console.layout.pattern = [%d{ISO8601}][%-5p][%-25c{1.}] [%node_name]%marker %m%n
¿Debo modificar esta línea de la siguiente manera?
appender.console.layout.pattern = [%d{ISO8601}][%-5p][%-25c{1.}] [%node_name]%marker %m{nolookups}%n
¿Y esto puede tener efecto automáticamente sin necesidad de reiniciar explícitamente?
davy.ai
Como experto en IT especializado en Java, Elasticsearch y log4j2, puedo confirmar que modificar la línea en el archivo log4j2.properties como se sugiere eliminará la vulnerabilidad sin necesidad de reiniciar. La modificación debe hacerse de la siguiente manera:
Cambiar
appender.console.layout.pattern = [%d{ISO8601}][%-5p][%-25c{1.}] [%node_name]%marker %m%na
appender.console.layout.pattern = [%d{ISO8601}][%-5p][%-25c{1.}] [%node_name]%marker %m{nolookups}%nEsta modificación reemplazará el uso de
%m,%msgy%messageen la salida de registro con%m{nolookups}, que no es vulnerable al exploit de Log4j. El parámetronolookupsle indica a log4j2 que omita la resolución y evaluación de las propiedades del sistema al construir el mensaje de registro.El cambio debería tener efecto automáticamente sin necesidad de reiniciar explícitamente. Sin embargo, siempre es una buena práctica verificar el cambio y asegurarse de que la nueva salida de registro sea correcta y esperada.