[Kobv-opus-tester] Log4j Sicherheitslücke

Schwarz, Hermann schwarz at dipf.de
Di Dez 14 06:27:06 CET 2021


Liebe Kolleginnen und Kollegen,

normalerweise lese ich in dieser Mailingliste nur. Wir nutzen auch kein OPUS4, aber Solr.
Laut den Infos hier:
https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228

insbesondere
"Mitigation: Any of the following are enough to prevent this vulnerability for Solr servers:

• Upgrade to Solr 8.11.1 or greater (when available), which will include an updated version of the log4j2 dependency.
• Manually update the version of log4j2 on your runtime classpath and restart your Solr application.
• (Linux/MacOS) Edit your solr.in.sh file to include: SOLR_OPTS="$SOLR_OPTS -Dlog4j2.formatMsgNoLookups=true"
• (Windows) Edit your solr.in.cmd file to include: set SOLR_OPTS=%SOLR_OPTS% -Dlog4j2.formatMsgNoLookups=true
• Follow any of the other mitgations listed at https://logging.apache.org/log4j/2.x/security.html"


wäre die einfachste Lösung:
Edit your SOLR/bin/solr.in.sh file to include: SOLR_OPTS="$SOLR_OPTS -Dlog4j2.formatMsgNoLookups=true"


Wir haben diese Lösung gewählt. Und Solr Update kann man dann später in Ruhe machen.
Angaben selbstverständlich ohne Gewähr :-).


Schöne Grüße
Hermann Schwarz


--
Hermann Schwarz
DIPF | Leibniz-Institut für Bildungsforschung und Bildungsinformation
Warschauer Str. 34-38,
10243 Berlin
Telefon: 030-293360-607

https://www.edutags.de/
https://www.lesen-in-deutschland.de/
https://open-educational-resources.de/



Am 13.12.2021 um 18:24 schrieb Jens Schwidder <schwidder at zib.de<mailto:schwidder at zib.de>>:

Lieber Herr Hilbig,

ich muss mich korrigieren. Die Abhängigkeit von der Konfiguration wird nur für Solr Versionen vor 7.4 angegeben. Solr 7.7.2 ist wohl also betroffen. Allerdings ist es schwer einzuschätzen welche Konsequenzen das wirklich für OPUS 4 hat.

Der Solr Server sollte normalerweise nicht generell erreichbar sein, sondern nur Anfragen vom OPUS 4 Server beantworten. OPUS 4 ist PHP Code. Ich kann nicht sagen, ob es möglich ist dieses Problem auszunutzen indem man einen bösartigen String in das Suchfeld eingibt.

Apache Solr 8.11.1 soll das Problem nicht mehr haben, aber die Version wurde noch nicht veröffentlich. Der aktuelle Solr Download ist immer noch 8.11.0.

Viele Grüße

Jens

On 13.12.21 17:48, Jens Schwidder wrote:
Lieber Herr Hilbig,
die OPUS 4 Entwicklung nutzt momentan Solr 7.7.2. Diese Version ist von den aktuellen Probleme mit Log4j betroffen ist. Es hängt davon ab, wie das Logging konfiguriert ist. Dazu gibt es Informationen auf der Apache Solr Security Webseite.
https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228 Welche Apache Solr bei Ihnen installiert ist kann ich nicht sagen, aber das kann unter Umständen eine andere Version sein, da Solr nicht mit den OPUS 4 Updates aktualisiert wird. Ähnlich wie Apache2, MySQL und andere Software, die von OPUS 4 benötigt wird, muss Solr separat gewartet werden auch wenn es momentan noch im Installationsskript auftaucht.
Ein Vorschlag auf der Webseite zum Problem, scheint darauf hinzudeuten, dass es möglich ist, wie von Ihnen vorgeschlagen, die Datei log4j-1.2.14.jar durch eine neuere Version auszutauschen.
Viel mehr kann ich Ihnen im Augenblick nicht sagen. Ein Upgrade von OPUS 4 löst das Problem mit Solr nicht. Der OPUS 4 Code ist PHP.
Ob wir kurzfristig auf Solr 8.11.1+ umsteigen können kann ich nicht noch beantworten. In jedem Fall müsste Solr lokal eigenständig aktualisiert bzw. neu installiert werden. Das ist nichts was das OPUS 4 Update machen kann.
Viele Grüße
Jens Schwidder
On 13.12.21 15:57, Hilbig, Olaf wrote:
Lieber Herr Schwidder,

ist die aktuelle OPUS 4-Version vom log4j-Exploit betroffen?

Ich habe eine alte OPUS-Version (OPUS 4.4.5). Diese benutzt log4j-1.2.14.jar, und das ist an anderer Stelle ebenfalls vulnerabel.
Gäbe es eine einfache Möglichkeit, dort nur solr/log4j zu ersetzen, oder ist es einfacher (besser wohl sowieso), das gesamte OPUS upzugraden?

Viele Grüße,
Olaf Hilbig





--
Kobv-opus-tester mailing list
Kobv-opus-tester at zib.de<mailto:Kobv-opus-tester at zib.de>
https://listserv.zib.de/mailman/listinfo/kobv-opus-tester


--
==============================================================
Jens Schwidder
Kooperativer Bibliotheksverbund Berlin-Brandenburg (KOBV)
c/o Konrad-Zuse-Zentrum für Informationstechnik Berlin (ZIB)
Takustr. 7, D-14195 Berlin
Telefon: (030) 841 85 - 308
Telefax: (030) 841 85 - 269
E-Mail: schwidder at zib.de<mailto:schwidder at zib.de>
   WWW: http://www.kobv.de
==============================================================
--
Kobv-opus-tester mailing list
Kobv-opus-tester at zib.de<mailto:Kobv-opus-tester at zib.de>
https://listserv.zib.de/mailman/listinfo/kobv-opus-tester

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://listserv.zib.de/pipermail/kobv-opus-tester/attachments/20211214/57d8b044/attachment.html>


Mehr Informationen über die Mailingliste Kobv-opus-tester