Logstash 安全更新公告(ESA-2026-29)
Elastic 發布 Logstash ESA-2026-29 安全公告,說明 CVE-2026-33466 可能造成任意檔案寫入,部分設定下可能進一步造成遠端程式碼執行風險。
官方公告重點
Logstash 存在「未適當限制路徑名稱至受限目錄」問題(CWE-22),可能因相對路徑遍歷(CAPEC-139)導致任意檔案寫入,並在特定情境下帶來遠端程式碼執行風險。
Elastic 說明,Logstash 使用的封存檔解壓縮工具未能正確驗證壓縮檔內的檔案路徑。若攻擊者能透過遭入侵或由攻擊者控制的更新端點,向 Logstash 提供特製封存檔,便可能以 Logstash 程序權限將任意檔案寫入主機檔案系統。
在啟用自動 pipeline 重新載入的特定設定中,若 Logstash 程序也可寫入 pipeline 設定目錄,任意檔案寫入風險可能進一步升高為遠端程式碼執行。
受影響版本包含 8.x 自 8.0.0 起至 8.19.13(含)為止,以及 9.x 自 9.0.0 起至 9.2.7(含)為止、9.3.0 起至 9.3.2(含)為止。受影響設定為啟用 GeoIP database downloader,且設定使用外部更新端點的部署。
Elastic 已在 Logstash 8.19.14、9.2.8 與 9.3.3 修補此問題。無法立即升級的使用者,官方建議停用 GeoIP database downloader、確認 GeoIP downloader endpoint 使用 HTTPS 並指向可信來源、停用自動 pipeline 設定重新載入,並限制 Logstash 程序僅能寫入必要目錄。
官方也建議檢查是否有非預期檔案被寫入 GeoIP 資料庫目錄以外的位置,檢視 pipeline 設定目錄或其他敏感位置是否出現不應存在的檔案,並監控 Logstash 日誌中的 GeoIP database 下載活動,尤其是來自非預期端點的下載。
此公告標示嚴重性為 High,CVSSv3.1 分數為 8.1,CVE ID 為 CVE-2026-33466,問題類型為 CWE-22,影響類型包含 CAPEC-139。
影響版本
Logstash 8.x 自 8.0.0 起至 8.19.13(含)為止。
Logstash 9.x 自 9.0.0 起至 9.2.7(含)為止。
Logstash 9.3.x 自 9.3.0 起至 9.3.2(含)為止。
受影響環境
啟用 GeoIP database downloader,且設定使用外部更新端點的 Logstash 部署。
若同時啟用自動 pipeline 設定重新載入,且 Logstash 程序可寫入 pipeline 設定目錄,風險會提高。
建議措施
Logstash 建議升級至安全版本:
- Logstash 8.19.14 / Logstash 9.2.8 / Logstash 9.3.3
無法升級者請採以下因應措施:
若暫時無法升級,Elastic 官方提供以下緩解建議:
- 停用 GeoIP database downloader:
在 Logstash 設定中將 xpack.geoip.downloader.enabled 設為 false。 - 限制更新來源與自動重新載入:
確認 GeoIP downloader endpoint 使用 HTTPS 並指向可信來源,並停用自動 pipeline 設定重新載入。 - 限制檔案系統寫入權限:
將 Logstash 程序的檔案系統寫入權限限制在必要目錄。
安全性建議
▲ 檢查 GeoIP 資料庫目錄以外是否出現非預期寫入檔案。
▲ 檢視 pipeline 設定目錄或其他敏感位置是否有不應存在的檔案。
▲ 監控 Logstash 日誌中的 GeoIP database 下載活動,特別是來自非預期端點的下載。
▲ 檢查是否有無法解釋的 pipeline 設定檔或既有 pipeline 設定異動。
▲ 檢視檔案完整性監控對預期 GeoIP 資料路徑以外目錄寫入的告警。
本公司高度重視客戶系統安全,已協助多家企業進行版本檢測與升級建議。如需支援或有相關疑問,歡迎與我們聯繫。
