Seite wählen

NETWAYS Blog

Kritisch: Fehler in Elasticsearch mit JDK22 kann einen sofortigen Stop des Dienstes bewirken

von | Apr 8, 2024 | ,

Update

Seit gestern Abend steht das Release 8.13.2 mit dem BugFix zur Verfügung.

Kritischer Fehler

Der Elasticsearch Dienst kann ohne Vorankündigung stoppen. Diese liegt an einem Fehler mit JDK 22. In der Regel setzt man Elasticsearch mit der „Bundled“ Version ein. Diese ist JDK 22 in den aktuellen Versionen. Dies geht aus einem Mailing des Elasticsearch Support-Teams hervor. Das Team entschuldigt sich für den Fehler und es wird mit hochdruck an einem Fix gearbeitet. Auch wird beschrieben, dass es nur sporadisch Auftritt und nicht in der Masse.

Betroffene Versionen:

  • Elasticsearch version 7.17.19 , versions 8.13.0/8.13.1 – with JDK 22

Empfehlung:

Da hier ein Datenverlust entstehen kann, sollte gehandelt werden. Wenn es das Einsatzszenario zulässt.

Workaround:

  • Self-Managed on Premise:
    • Installiert einfach ein JDK Bundle in der Version 21.0.2 und Elasticsearch. Beispiel: 
      • $ apt install openjdk-21-jdk-headless
      • Dann müsst ihr nach der Installation auf jeden Knoten einen Neustart des Dienstes durchführen. Denk dabei daran es als „Rolling Restart“ durchzuführen.
  • Für die ES Cloud gibt es keinen Workaround. Hier gibt es Updates zum Services Status: Elasticsearch Instance Disruption on Elasticsearch 8.13
  • Für ECE/ECK (Elastic Clound on Premise / Elastic Cloud Kubernetes): gibt es keinen Workaround

 

Allgemeine Lösung

Das Team von Elastic arbeitet auf hochtouren an einem Fix für das Thema.

Die aktuellen Stände hierzu könnt ihr hier verfolgen:

Lösung

Natürlich ist es immer noch valide ein Donwgrade durch den Einsatz von OpenJDK durchzuführen wie im „Workaround“ beschrieben. Empfehlenswerter ist es aber alle Elasticsearch-Nodes auf 8.13.2 zu aktualisieren. Da hier wie immer ein Neustart des Dienstes notwendig ist, vergesst nicht nach dem Schema des „Rolling Restart“ zu handeln.

Anmerkung der Redaktion

Hier ist ein handeln Empfohlen. Der Hersteller hat die Schwachstelle erkannt und öffentlich bekannt gegeben, begleitet von Handlungsempfehlungen zur Behebung. Wir haben dies festgestellt und möchten euch mit diesem Beitrag bei der Erkennung und der damit verbundenen Möglichkeit zum Handeln unterstützen. Wenn Ihr unsicher seit, wie ihr reagieren sollt und Unterstützung benötigt, wendet euch einfach an unser Sales-Team. Das Team von Professional Services unterstützt euch gerne.

Daniel Neuberger
Daniel Neuberger
Senior Consultant
Nach seiner Ausbildung zum Fachinformatiker für Systemintegration und Tätigkeit als Systemadministrator kam er 2012 zum Consulting. Nach nun mehr als 4 Jahren Linux und Open Source Backup Consulting zieht es ihn in die Welt des Monitorings und System Management. Seit April 2017 verstärkt er das NETWAYS Professional Services Team im Consulting rund um die Themen Elastic, Icinga und Bareos. Wenn er gerade mal nicht um anderen zu Helfen durch die Welt tingelt geht er seiner Leidenschaft für die Natur beim Biken und der Imkerei nach und kassiert dabei schon mal einen Stich.
Lies mehr von Daniel und triff unser Team

Kibana Sicherheits-Updates: CVSS:Critical

von | Feb 8, 2024 | , ,

Und täglich grüßt das Murmeltier. Nein nicht ganz. Heute ist es  aus der Elastic Stack Werkzeugkiste Kibana, für das es ein wichtiges Sicherheits-Update gibt. Es besteht auf jeden Fall Handlungsbedarf! IMHO auch wenn ihr die „Reporting“ Funktion deaktiviert habt.

Der Link zur Veröffentlichung: Kibana 8.12.1, 7.17.18 Security Update (ESA-2024-04)

Schweregrad: Severity: CVSSv3: 9.9(Critical)

Beschreibung

Die Verwundbarkeit ist ist auf eine Schwachstelle von Google Chrome aus Dezember 2023 zurückzuführen. Da Kibana für die Reporting Funktion eine eingebettete „Chromium headless Verison“ mit sich bringt, ist Kibana von dieser „Heap buffer overflow in WebRTC“ ebenfalls betroffen. Diese Schwachstelle ermöglicht es einem entfernten Angreifer, über eine manipulierte HTML-Seite einen „Heap-Velrust“ auszunutzen.

Dieser Effekt betrifft „on-premises“ Kibana installation auf Betriebsystemen die „Chromium Sandbox“ abgeschaltet haben. Diese sind CentOS, Debian, RHEL.

Es betrifft auch Instanzen welche mit dem Kibana Docker betrieben werden, wenn „Chromium Sandbox“ wie explizit empfohlen abgeschaltet ist. Jedoch gilt hier, dass eine „Container Escape“ nicht möglich ist, da es durch „seccomp-bpf“ unterbunden wird. Das gilt auch für Kibana Instanzen auf „Elastic Cloud„, für „Elastic Cloud Enterprise (ECE)„, wobei hier das weitere Vordringen zusätzlich zum „seccomp-bf “ mit „AppArmor profiles“ verhindert wird.

Für Kibana Instanzen welche auf „Elastic Cloud on Kubernetes“ laufen, ist um das weitere Vordingen (Container Escape) durch „seccomp-bf“ zu verhindern, dieses entsprechend in Kubernetes zu konfigurieren (wird seit V1.19 unterstützt).

Betroffene Versionen

  • Kibana bis 7.17.17
  • Kibana bis 8.12.0

Handlungsablauf zur Abhilfe

  • Dringend Update auf Version 8.12.1 oder Version 7.17.18
    • Dabei ist aber auch an die Elasticsearch Version zu denken
  • Sollte Kein UPDATE möglich sein, dann sollte die „Reporting“ Funktion dringend abgeschalten werden 
    vi /etc/kibana/kibana.yml
...
xpack.reporting.enabled: false

     

Anmerkung der Redaktion

Hier ist ein handeln Empfohlen. Der Hersteller hat die Schwachstelle erkannt und öffentlich bekannt gegeben, begleitet von Handlungsempfehlungen zur Behebung. Wir haben dies festgestellt und möchten euch mit diesem Beitrag bei der Erkennung und der damit verbundenen Möglichkeit zum Handeln unterstützen. Wenn Ihr unsicher seit, wie ihr reagieren sollt und Unterstützung benötigt, wendet euch einfach an unser Sales-Team. Das Team von Professional Services unterstützt euch gerne.

Daniel Neuberger
Daniel Neuberger
Senior Consultant
Nach seiner Ausbildung zum Fachinformatiker für Systemintegration und Tätigkeit als Systemadministrator kam er 2012 zum Consulting. Nach nun mehr als 4 Jahren Linux und Open Source Backup Consulting zieht es ihn in die Welt des Monitorings und System Management. Seit April 2017 verstärkt er das NETWAYS Professional Services Team im Consulting rund um die Themen Elastic, Icinga und Bareos. Wenn er gerade mal nicht um anderen zu Helfen durch die Welt tingelt geht er seiner Leidenschaft für die Natur beim Biken und der Imkerei nach und kassiert dabei schon mal einen Stich.
Lies mehr von Daniel und triff unser Team

Kibana Security Issue – Update für v8.10.0 erforderlich

von | Sep 20, 2023 | ,

Aktuelle Sicherheitslücke in Kibana Version 8.10.0

In der Nacht erreichte uns eine E-Mail von Elastic über eine Sicherheitslücke im Logging von Kibana (ESA-2023-17)  in Version 8.10.0. Im Log werden vertrauliche Informationen wie zum Beispiel Benutzernamen und Passwörter bei Authentifizierung sowie Cookies und Header im Klartext in die Kibana Log-Datei geschrieben. Es wurde bereits eine neue Version 8.10.1 veröffentlicht und 8.10.0 aus den Repositories gelöscht.

Aber was bedeutet das für euch?

EC (Elastic Cloud)

Elastic hat hier bereits alle Kundensysteme auf Version 8.10.1 aktualisiert. Trotzdem ist es notwendig die empfohlenen Handlungen wie in der Veröffentlichung von Elastic beschrieben durchzuführen. Ebenso wurden die Logs rotiert und gelöscht.

  • Internal Credentials rotiert und neu erstellt
  • End User Passwörter neu vergeben im Kibana

Self-Managed

Hier seid ihr gefragt. Es reicht nicht nur ein Update auf Version 8.10.1 durchzuführen, sondern es sind noch weitere Schritte erforderlich:

  • Logs kontrollieren, gegebenenfalls löschen (default: „/var/log/kibana/kibana.log„)
  • kibana_systems native user Passwort ändern (Zur Anleitung)
  • API-Tokens, sofern verwendet, aktualisieren (Zur Anleitung)
  • End User Passwörter im Kibana sowie für APIs neu vergeben

Handlungsbedarf besteht!

Wenn Ihr Kibana Version 8.10.0 verwendet, dann besteht dringender Handlungsbedarf. Wenn ihr euch nicht sicher seid wie Ihr Vorgehen sollt und Unterstützung benötigt, dann meldet euch direkt bei uns. Wir von NETWAYS helfen euch beim Update und der Analyse der bestehenden Logs.

Daniel Neuberger
Daniel Neuberger
Senior Consultant
Nach seiner Ausbildung zum Fachinformatiker für Systemintegration und Tätigkeit als Systemadministrator kam er 2012 zum Consulting. Nach nun mehr als 4 Jahren Linux und Open Source Backup Consulting zieht es ihn in die Welt des Monitorings und System Management. Seit April 2017 verstärkt er das NETWAYS Professional Services Team im Consulting rund um die Themen Elastic, Icinga und Bareos. Wenn er gerade mal nicht um anderen zu Helfen durch die Welt tingelt geht er seiner Leidenschaft für die Natur beim Biken und der Imkerei nach und kassiert dabei schon mal einen Stich.
Lies mehr von Daniel und triff unser Team

NETWAYS Webinare – Die nächsten Themen

von | Okt 17, 2022 | , , ,

Wie viele vielleicht wissen führen wir auf unserem YouTube-Kanal eine Vielzahl von Webinaren durch. Diese handeln nicht nur von Icinga, sondern beispielsweise auch Elastic und Graylog. Im Laufe der Zeit sind wir von den einzelnen, getrennten Webinaren zu Serien gewechselt, in welchen wir nicht nur Icinga von Anfang bis Ende installiert und konfiguriert haben, sondern auch Elastic.

Graylog Webinar-Serie

Um diesen Kreis zu vervollständigen, planen wir aktuell eine Webinar-Serie zu Graylog. Hierzu haben wir bereits mit dem groben Überblick zu Graylog begonnen und werden in den nächsten Monaten diese Themen weiter ausbauen und ähnlich wie bei Elastic, eine Schritt für Schritt Reihe durchführen, um einzelne Themenbereiche zielgerichtet zu erläutern und zu erklären. Beinhaltet davon wird sein:

  • Installation und Konfiguration
  • Inputs und Pipelines
  • Graylog Marketplace
  • Dashboards und Visualisierung
  • Graylog Operations
  • Graylog Security

Natürlich sind wir für Vorschläge und Themeninhalte offen und können diese sowohl vorab als auch während der Webinare – sofern möglich – aufzeigen.

Elastic Webinare

Unsere Elastic Webinar-Reihe ist bereits mit einigen Themen versorgt worden. Dennoch gibt es hier noch einige Punkte, welche wir gezielt in weiteren Webinaren ansprechen wollen. Das beinhaltet unter anderem:

  • Elastic Enterprise
  • Pipelines
  • Elastic Security
  • Elastic Agent

Damit wären die ersten, wichtigsten Themen rund um Elastic abgeschlossen und können in künftigen Webinaren auf die Neuheiten in den jeweiligen Versionen eingehen.

Icinga Webinare

Mit den Webinaren zur Open Source Monitoring Lösung Icinga haben wir vor vielen Jahren angefangen und führen diese stetig weiter. Auch wenn wir bereits die größten Themenbereiche abgedeckt haben, ist unser Ziel weiterhin allgemeine Icinga Webinare durchzuführen, haben aber auch bereits einige weitere Themen in der Pipeline:

  • Icinga DB Installation
  • Migration von IDO zu Icinga DB
  • Icinga for Windows

Der wichtigste Bereich wird hier zunächst die Icinga DB sowie die Migration von der IDO sein. Darüber hinaus bietet Icinga for Windows noch eine Reihe an Möglichkeiten, das Windows Monitoring noch besser vorzustellen und einzelne Punkte detaillierter zu beleuchten.

Prometheus Webinare

Seit neuestem haben wir auch Prometheus als Produkt im Portfolio und möchten hier natürlich nicht die Gelegenheit auslassen, dieses Open Source Tool ebenfalls in verschiedenen Webinaren vorzustellen. Der erste Termin musste aus organisatorischen Gründen zwar abgesagt werden, sind aktuell aber bereits an der Terminfindung für neue Slots.

Wo finde ich die Termine

Wir werden auf unserem YouTube-Kanal Termine zu den Webinaren einplanen, sobald wir fixe Slots verfügbar haben. Hierfür am besten den Kanal abonnieren und die Glocke aktvieren, um über Neuheiten informiert zu werden. Alternativ kann man auch unseren Webinar-Kalender abonnieren und verpasst somit keine Termine mehr!

 

Wir freuen uns wie immer über einen regen Austausch und werden im Laufe der nächsten Wochen und in 2023 die Themen und Termine weiter ausbauen. Bei Feedback, Fragen oder Themenanregungen freuen wir uns natürlich über eine Kontaktaufnahme!

Christian Stein
Christian Stein
Manager Sales
Christian kommt ursprünglich aus der Personalberatungsbranche, wo er aber schon immer auf den IT Bereich spezialisiert war. Bei NETWAYS arbeitet er als Manager Sales und berät unsere Kunden in der vertrieblichen Phase rund um das Thema Monitoring. Gemeinsam mit Georg hat er sich Mitte 2012 auch an unserem Hardware-Shop "vergangen".
Lies mehr von Christian und triff unser Team

Elasticsearch: Herzstück des Elastic Stack

von | Jul 25, 2022 |

Nachdem wir uns im letzten Blogpost den Elastic Stack im Allgemeinen angesehen haben, wollen wir uns heute auf den Teil Elasticsearch konzentrieren. Gerade zum Thema Elasticsearch gibt es aufgrund der Mächtigkeit des Tools eine Vielzahl an Fakten und Features.

Wie im Titel schon erwähnt, ist Elasticsearch das Herzstück des Elastic Stack. Elasticsearch ist eine Such- und Analytics-Engine, die als Kernaufgabe die Speicherung der (Log-)Daten übernimmt. Im Vordergrund stehen hier die hohe Performanz, die Relevanz von Daten kann granular geregelt werden und ein Elasticsearch Cluster kann problemlos skaliert werden.

 

Features von Elasticsearch

  • Suchanfragen sind kombinierbar – egal, ob strukturiert oder unstrukturiert. Suchparameter können selbst gesetzt werden, als Beispiel Metriken oder Geodaten. Hier kann aber indviduell angepasst werden.
  • Volltextsuche und Verstehen von Tippfehlern
  • Ranking von Suchergebnissen – nach individueller Definition können Suchergebnisse sortiert werden, z. B. nach Datum, Beliebtheit, Häufigkeit des Auftretens von Begriffen. Die Einstellungen für diese Rankings können auch per Funktion definiert werden.
  • Analysieren von Milliarden von Logfiles – mit Hilfe von Aggregationen kann mehr als nur eine Facette dargestellt werden. Die Analyse ermöglich das Erkennen von Zusammenhängen, Mustern und Trends sowie einen regelmäßigen Überblick.
  • Hohe Performance – jedes Log File wird mit einem Index versehen. Daten werden automatisch auf den Nodes verteilt, um ein perfektes Balancing zu erreichen.
  • Skalierbarkeit – vom One-Node-Setup im Testumfeld hin zur Produktivumgebung. Hier muss nichts neu aufgesetzt werden, sondern es wird skaliert durch das Hinzufügen von Nodes. Konfigurationen werden im Cluster automatisch verteilt. (Elastic empfiehlt für Produktivumgebungen mindestens drei Nodes)
  • Cluster-übergereifende Replikation – hier wird in einer verteilten Umgebung gearbeitet, so dass der Cluster und die darin enthaltenen Daten auch bei Hardware- oder Netzwerkausfall verfügbar sind. Auch kann jederzeit ein Hot Backup einspringen.
  • Elasticsearch Node weg? Der Cluster erkennt dies und erstetzt den verschwundenen Knoten mit einer Replika.

 

Ein sehr interessanter Aspekt ist auch, dass das Alternativprodukt Graylog auch auf Elasticsearch aufbaut. Das heißt, wer sich mit Elasticsearch auskennt, kann gleich zweimal punkten! Woher Ihr das Wissen bekommt? Natürlich von uns!

Über unsere Website könnt Ihr direkt Schulungen buchen für Elastic, aber auch für viele andere Produkte wie Graylog oder Icinga 2. Solltet Ihr Euch unsicher sein oder weitere Infos benötigen, dann kontaktiert einfach unsere Kollegen über events@netways.de.

Wer kurzfristig was lernen möchte, dem empfehle ich unsere Webinare. Hier findet hier auf unserer Website die bereits gehaltenen Webinare sowie Ankündigungen für neue. Insbesondere haben wir kürzlich Webinare zum Thema Elastic hinzugefügt.

Wir haben Euer Interesse an Elasticsearch und dem Elastic Stack geweckt? Ihr wollt vielleicht wissen, ob die Tools als Lösung für Eure Use Cases in Frage kommen? Dann kommt einfach auf uns zu! Wir sind erreichbar unter sales@netways.de oder über unser Kontaktformular.

Trainings

Web Services

Events