[Kobv-opus-tester] Log4j Sicherheitslücke

Jens Schwidder schwidder at zib.de
Mo Dez 13 18:24:50 CET 2021


Lieber Herr Hilbig,

ich muss mich korrigieren. Die Abhängigkeit von der Konfiguration wird 
nur für Solr Versionen vor 7.4 angegeben. Solr 7.7.2 ist wohl also 
betroffen. Allerdings ist es schwer einzuschätzen welche Konsequenzen 
das wirklich für OPUS 4 hat.

Der Solr Server sollte normalerweise nicht generell erreichbar sein, 
sondern nur Anfragen vom OPUS 4 Server beantworten. OPUS 4 ist PHP Code. 
Ich kann nicht sagen, ob es möglich ist dieses Problem auszunutzen indem 
man einen bösartigen String in das Suchfeld eingibt.

Apache Solr 8.11.1 soll das Problem nicht mehr haben, aber die Version 
wurde noch nicht veröffentlich. Der aktuelle Solr Download ist immer 
noch 8.11.0.

Viele Grüße

Jens

On 13.12.21 17:48, Jens Schwidder wrote:
> Lieber Herr Hilbig,
> 
> die OPUS 4 Entwicklung nutzt momentan Solr 7.7.2. Diese Version ist von 
> den aktuellen Probleme mit Log4j betroffen ist. Es hängt davon ab, wie 
> das Logging konfiguriert ist. Dazu gibt es Informationen auf der Apache 
> Solr Security Webseite.
> 
> https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228 
> 
> 
> Welche Apache Solr bei Ihnen installiert ist kann ich nicht sagen, aber 
> das kann unter Umständen eine andere Version sein, da Solr nicht mit den 
> OPUS 4 Updates aktualisiert wird. Ähnlich wie Apache2, MySQL und andere 
> Software, die von OPUS 4 benötigt wird, muss Solr separat gewartet 
> werden auch wenn es momentan noch im Installationsskript auftaucht.
> 
> Ein Vorschlag auf der Webseite zum Problem, scheint darauf hinzudeuten, 
> dass es möglich ist, wie von Ihnen vorgeschlagen, die Datei 
> log4j-1.2.14.jar durch eine neuere Version auszutauschen.
> 
> Viel mehr kann ich Ihnen im Augenblick nicht sagen. Ein Upgrade von OPUS 
> 4 löst das Problem mit Solr nicht. Der OPUS 4 Code ist PHP.
> 
> Ob wir kurzfristig auf Solr 8.11.1+ umsteigen können kann ich nicht noch 
> beantworten. In jedem Fall müsste Solr lokal eigenständig aktualisiert 
> bzw. neu installiert werden. Das ist nichts was das OPUS 4 Update machen 
> kann.
> 
> Viele Grüße
> 
> Jens Schwidder
> 
> 
> 
> On 13.12.21 15:57, Hilbig, Olaf wrote:
>> Lieber Herr Schwidder,
>>
>> ist die aktuelle OPUS 4-Version vom log4j-Exploit betroffen?
>>
>> Ich habe eine alte OPUS-Version (OPUS 4.4.5). Diese benutzt 
>> log4j-1.2.14.jar, und das ist an anderer Stelle ebenfalls vulnerabel.
>> Gäbe es eine einfache Möglichkeit, dort nur solr/log4j zu ersetzen, 
>> oder ist es einfacher (besser wohl sowieso), das gesamte OPUS upzugraden?
>>
>> Viele Grüße,
>> Olaf Hilbig
>>
>>
>>
>>
>>
>> -- 
>> Kobv-opus-tester mailing list
>> Kobv-opus-tester at zib.de
>> https://listserv.zib.de/mailman/listinfo/kobv-opus-tester
>>
> 

-- 
==============================================================
Jens Schwidder
Kooperativer Bibliotheksverbund Berlin-Brandenburg (KOBV)
c/o Konrad-Zuse-Zentrum für Informationstechnik Berlin (ZIB)
Takustr. 7, D-14195 Berlin
Telefon: (030) 841 85 - 308
Telefax: (030) 841 85 - 269
  E-Mail: schwidder at zib.de
     WWW: http://www.kobv.de
==============================================================


Mehr Informationen über die Mailingliste Kobv-opus-tester