Elasticsearch 安全漏洞

漏洞介绍

Elasticsearch是荷兰Elasticsearch公司的一套基于Lucene构建的开源分布式RESTful搜索引擎。该产品主要应用于云计算，并支持通过HTTP使用JSON进行数据索引。Security是其中的一个数据保护组件。

Elasticsearch 6.8.13版本和7.9.2之前版本存在安全漏洞，该漏洞源于在使用文档或字段级安全时包含文档泄露缺陷。在执行某些复杂查询时，搜索查询不能正确地保留安全权限。这可能导致搜索暴露了攻击者无法查看的文档的存在。攻击者可利用该漏洞对潜在的敏感索引有更多的了解。

漏洞补丁

目前厂商已发布升级了Elasticsearch 安全漏洞的补丁，Elasticsearch 安全漏洞的补丁获取链接：

https://discuss.elastic.co/t/elastic-stack-7-9-3-and-6-8-13-security-update/253033

参考网址

来源:MISC

链接：https://staging-website.elastic.co/community/security/

来源:MISC

链接：https://discuss.elastic.co/t/elastic-stack-7-9-3-and-6-8-13-security-update/253033

来源:CONFIRM

链接：https://security.netapp.com/advisory/ntap-20201123-0001/

来源:nvd.nist.gov

链接：https://nvd.nist.gov/vuln/detail/CVE-2020-7020

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202010-1202