背景:
项目使用的logstash版本为:7.16.1,先存在漏洞需要修复,Jackson-core 安全漏洞(CVE-2025-52999)。但通过直接替换Jar包,服务启动失败,故无法通过替换jar包方式修复。
思路:
1、查阅资料,了解到:由于 Logstash 是一个打包好的应用程序,直接替换其中的 Jar 包可能会导致兼容性问题,因此需要根据部署方式采取不同的措施。
2、目前项目在使用,故我们不通过官网升级,这样配置需要重新调整,耗时。
3、采用Logstash 的“覆盖 Jar”机制,未解决。
- 原理:
Logstash 的类加载机制会优先加载logstash-core/lib/logstash-overrides目录下的 Jar 包。- 操作步骤:
- 下载修复版 Jar:去 Maven 中央仓库下载对应版本的
jackson-core、jackson-databind和jackson-annotationsJar 包(通常需要保持 Jackson 系列版本一致)。
- *注意:必须确保下载的 Jackson 版本与 Logstash 内部使用的 Java 版本兼容,且 API 变化不会导致 Logstash 核心崩溃。*
- 放置文件:将下载的 Jar 包复制到 Logstash 安装目录下的
logstash-core/lib/logstash-overrides/文件夹中(如果该文件夹不存在,请手动创建)。- 重启 Logstash:重启服务使更改生效。
- 验证:通过日志或进程检查加载的 Jar 版本是否已更新。
4、狸猫换太子,解决。
开干1:
1、创建覆盖目录(如果不存在),并复制新 Jar 包:
[root@pbase1 lib]# mkdir logstash-overrides [root@pbase1 lib]# cd logstash-overrides/ [root@pbase1 logstash-overrides]# cp /data/soft/jackson-core-2.15.0.jar ./ [root@pbase1 logstash-overrides]# ls jackson-core-2.15.0.jar [root@pbase1 logstash-overrides]# cp /data/soft/jarbak/jackson-annotations-2.15.0.jar ./ [root@pbase1 logstash-overrides]# cp /data/soft/jarbak/jackson-databind-2.15.0.jar ./ [root@pbase1 logstash-overrides]# ll total 2192 -rw-r----- 1 root root 75564 Jan 22 15:35 jackson-annotations-2.15.0.jar -rw-r----- 1 root root 542635 Jan 22 15:34 jackson-core-2.15.0.jar -rw-r----- 1 root root 1619579 Jan 22 15:36 jackson-databind-2.15.0.jar2、重启 Logstash
[root@pbase1 logstash-overrides]# systemctl restart logstash.service [root@pbase1 ~]# journalctl -u logstash.service -f Jan 22 15:37:35 pbase1 systemd[1]: Stopping logstash... Jan 22 15:37:36 pbase1 logstash[2958863]: warning: thread "Ruby-0-Thread-76: :1" terminated with exception (report_on_exception is true): Jan 22 15:37:36 pbase1 logstash[2958863]: IOError: stream closed in another thread Jan 22 15:37:36 pbase1 logstash[2958863]: accept at org/jruby/ext/socket/RubyTCPServer.java:153 Jan 22 15:37:36 pbase1 logstash[2958863]: tcp_listener at /usr/local/logstash-7.16.1/vendor/bundle/jruby/2.5.0/gems/logstash-input-gelf-3.3.0/lib/logstash/inputs/gelf.rb:127 Jan 22 15:37:36 pbase1 logstash[2958863]: run at /usr/local/logstash-7.16.1/vendor/bundle/jruby/2.5.0/gems/logstash-input-gelf-3.3.0/lib/logstash/inputs/gelf.rb:76 Jan 22 15:37:36 pbase1 systemd[1]: logstash.service: Main process exited, code=exited, status=1/FAILURE Jan 22 15:37:36 pbase1 systemd[1]: logstash.service: Failed with result 'exit-code'. Jan 22 15:37:36 pbase1 systemd[1]: Stopped logstash. Jan 22 15:37:36 pbase1 systemd[1]: Started logstash. Jan 22 15:37:36 pbase1 logstash[3272989]: Using JAVA_HOME defined java: /usr/local/logstash-7.16.1/jdk Jan 22 15:37:36 pbase1 logstash[3272989]: WARNING: Using JAVA_HOME while Logstash distribution comes with a bundled JDK. Jan 22 15:37:36 pbase1 logstash[3272989]: DEPRECATION: The use of JAVA_HOME is now deprecated and will be removed starting from 8.0. Please configure LS_JAVA_HOME instead. Jan 22 15:37:58 pbase1 logstash[3272989]: Sending Logstash logs to /data/logstash/logs which is now configured via log4j2.properties3、验证修复:
- 检查进程:查看 Logstash Java 进程启动参数,确认 classpath 包含了
logstash-overrides。
- 检查日志:观察
logstash.log启动日志,确保没有出现Jackson相关的报错,重启时候已验证。 - 检查前台是否有日志收集到。
结果,扫描器,仍然能扫到:
开干2(狸猫换太子):
1、备份旧文件
2、准备新 Jar 包
3、替换文件
[root@pbase1 jackson-core]# ls 2.15.0.bak 2.9.10 [root@pbase1 jackson-core]# cd 2.9.10/ [root@pbase1 2.9.10]# ls jackson-core-2.15.0.jarbak jackson-core-2.9.10.jar [root@pbase1 2.9.10]# mv jackson-core-2.9.10.jar jackson-core-2.9.10.jar.z [root@pbase1 2.9.10]# mv jackson-core-2.15.0.jarbak jackson-core-2.9.10.jar [root@pbase1 2.9.10]# systemctl restart logstash.service4、检查其他 Jackson 组件(强烈建议)
通常jackson-databind和jackson-annotations也在同一个版本(2.9.10)。为了防止NoSuchMethodError,建议用同样的方法替换它们:
- 找到它们的位置:
.../com/fasterxml/jackson/databind/jackson-databind/2.9.10/jackson-databind-2.9.10.jar.../com/fasterxml/jackson/annotations/jackson-annotations/2.9.10/jackson-annotations-2.9.10.jar
- 下载对应的新版本 Jar。
- 重命名为
2.9.10后缀。 - 替换原文件。
5、修复验证,和上面几乎一样。
6、使用unzip验证真实版本(给安全团队看的证据):
[root@pbase1 2.9.10]# ls jackson-core-2.9.10.jar jackson-core-2.9.10.jar.z [root@pbase1 2.9.10]# unzip -p jackson-core-2.9.10.jar META-INF/MANIFEST.MF | grep "Bundle-Version" Bundle-Version: 2.15.0输出结果:如果显示Bundle-Version: 2.13.4(即你下载的真实版本),说明修复成功,尽管文件名还是旧的。
总结
由于 Logstash 7.x 的插件依赖锁死死地绑定了特定版本号(2.9.10),“保留旧名,替换内容” 是解决此类报错并修复漏洞的唯一可行路径。
)
:无标记细胞分析的革命性技术)
