ElasticSearch 远程代码执行漏洞(CVE-2014-3120)

详细描述

 

ElasticSearch（简称 ES） 是一个基于 Lucene 构建的开源，分布式，RESTful 搜索引擎。 设计用于云计算中，能够达到搜索实时、稳定、可靠和快速，并且安装使用方便。 支持通过 HTTP 请求，使用 JSON 进行数据索引。

 

由于ElasticSearch默认开启了动态脚本执行功能，导致任意用户可以通过构造特制的提交，执行任意Java代码。

 

 

解决办法

Elasticsearch官方

-------

官方已公开发布发elasticsearch 1.2版本，默认关闭动态脚本执行功能。

 

http://www.elasticsearch.org/downloads/1-2-0/