[Kobv-opus-tester] Log4j Sicherheitslücke

Jens Schwidder schwidder at zib.de
Mo Dez 13 17:48:24 CET 2021 

Lieber Herr Hilbig,

die OPUS 4 Entwicklung nutzt momentan Solr 7.7.2. Diese Version ist von 
den aktuellen Probleme mit Log4j betroffen ist. Es hängt davon ab, wie 
das Logging konfiguriert ist. Dazu gibt es Informationen auf der Apache 
Solr Security Webseite.

https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228

Welche Apache Solr bei Ihnen installiert ist kann ich nicht sagen, aber 
das kann unter Umständen eine andere Version sein, da Solr nicht mit den 
OPUS 4 Updates aktualisiert wird. Ähnlich wie Apache2, MySQL und andere 
Software, die von OPUS 4 benötigt wird, muss Solr separat gewartet 
werden auch wenn es momentan noch im Installationsskript auftaucht.

Ein Vorschlag auf der Webseite zum Problem, scheint darauf hinzudeuten, 
dass es möglich ist, wie von Ihnen vorgeschlagen, die Datei 
log4j-1.2.14.jar durch eine neuere Version auszutauschen.

Viel mehr kann ich Ihnen im Augenblick nicht sagen. Ein Upgrade von OPUS 
4 löst das Problem mit Solr nicht. Der OPUS 4 Code ist PHP.

Ob wir kurzfristig auf Solr 8.11.1+ umsteigen können kann ich nicht noch 
beantworten. In jedem Fall müsste Solr lokal eigenständig aktualisiert 
bzw. neu installiert werden. Das ist nichts was das OPUS 4 Update machen 
kann.

Viele Grüße

Jens Schwidder



On 13.12.21 15:57, Hilbig, Olaf wrote:
> Lieber Herr Schwidder,
> 
> ist die aktuelle OPUS 4-Version vom log4j-Exploit betroffen?
> 
> Ich habe eine alte OPUS-Version (OPUS 4.4.5). Diese benutzt log4j-1.2.14.jar, und das ist an anderer Stelle ebenfalls vulnerabel.
> Gäbe es eine einfache Möglichkeit, dort nur solr/log4j zu ersetzen, oder ist es einfacher (besser wohl sowieso), das gesamte OPUS upzugraden?
> 
> Viele Grüße,
> Olaf Hilbig
> 
> 
> 
> 
> 
> --
> Kobv-opus-tester mailing list
> Kobv-opus-tester at zib.de
> https://listserv.zib.de/mailman/listinfo/kobv-opus-tester
> 

-- 
==============================================================
Jens Schwidder
Kooperativer Bibliotheksverbund Berlin-Brandenburg (KOBV)
c/o Konrad-Zuse-Zentrum für Informationstechnik Berlin (ZIB)
Takustr. 7, D-14195 Berlin
Telefon: (030) 841 85 - 308
Telefax: (030) 841 85 - 269
  E-Mail: schwidder at zib.de
     WWW: http://www.kobv.de
==============================================================

Mehr Informationen über die Mailingliste Kobv-opus-tester