摘自:http://storysky.blog.51cto.com/628458/1414326
昨天安全组给我发来一条提示 说elasticsearch 有安全漏洞,可以通过浏览器执行服务器上的任何脚本,一听吓一跳 还好我的es只针对内网开放,赶紧测试是否存在,结果还真是如此,我的/etc/hosts 和 /etc/passwd 文件内容一览无遗,赶紧改吧!按照安全组要求 在 /etc/elasticsearch/elasticsearch.yml 里面添加一条
script.disable_dynamic: true
重启,测试,没问题了
具体漏洞详情看这个地址 http://bouk.co/blog/elasticsearch-rce/
开源系统 漏洞多多,大家多注意吧