V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mirrornighth
V2EX  ›  Elasticsearch

CVE-2023-31419 es 漏洞除了升级版本还有其他解决方式吗?

  •  
  •   mirrornighth · 174 天前 · 2015 次点击
    这是一个创建于 174 天前的主题,其中的信息可能已经有所发展或是发生改变。
    5 条回复    2024-06-28 10:24:40 +08:00
    retanoj
        1
    retanoj  
       174 天前   ❤️ 1
    影响是通过 _search API 传入一些特殊构造过的参数导致的 DoS

    如果业务场景是有用到这 API 的话,还是升级吧
    Mithril
        2
    Mithril  
       174 天前
    不想升级那就只能控制传入的请求了,比如你限定 search 请求只能由你的 app 发起,app 里不会传入由用户构造的内容。或者你是用 high level api client 直接构造的请求,那大概率是不会有问题的。

    当然该升级还是要升的
    mirrornighth
        3
    mirrornighth  
    OP
       174 天前
    @Mithril search 请求是由 app 发起的,想从代码层面规避这个问题,过滤屏蔽这些特殊查询字符,但不知道这个特殊查询字符具体是指什么:<
    Mithril
        4
    Mithril  
       174 天前
    @mirrornighth
    https://github.com/sqrtZeroKnowledge/Elasticsearch-Exploit-CVE-2023-31419

    照着 POC 看一下就知道了。如果你限定了只能从 App 发起请求,拒接了其他地方的请求,那大概率没啥问题的。
    mirrornighth
        5
    mirrornighth  
    OP
       173 天前
    @Mithril 这个我看了,感谢🙏
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5806 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 01:58 · PVG 09:58 · LAX 17:58 · JFK 20:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.