Elasticsearch

Die Schwachstelle betrifft die Suchmaschinen-Software Elasticsearch von Elastic und beruht auf deren Standardkonfiguration: In dieser ist das sogenannte dynamische Skripting aktiviert. Dadurch kann ein Angreifer aus der Ferne über den Quell-Parameter einer Suchanfrage an die Suchschnittstelle eigene MVEL-Ausdrücke und Java-Code einschleusen, die der Server anschließend ausführt. Im Ergebnis lässt sich auf dem betroffenen System beliebiger Code ausführen, ohne dass eine Anmeldung erforderlich ist. Heikel ist dabei, dass die Lücke allein durch die ausgelieferte Voreinstellung entsteht und kein Fehlverhalten des Betreibers voraussetzt. Nach Herstellersicht wird die beabsichtigte Sicherheitspolitik allerdings nur dann verletzt, wenn Elasticsearch nicht in einer eigenen, isolierten virtuellen Maschine betrieben wird – ohne diese Kapselung kann der eingeschleuste Code direkt auf die Umgebung des Servers zugreifen.