[Kobv-opus-tester] Log4j Sicherheitslücke
Hilbig, Olaf
olaf.hilbig at sub.uni-hamburg.de
Di Dez 14 09:08:16 CET 2021
Lieber Herr Schwidder,
vielen Dank für Ihre schnelle Hilfe.
Das hilft mir schon sehr weiter.
Viele Grüße,
Olaf Hilbig
________________________________
Von: Kobv-opus-tester <kobv-opus-tester-bounces at zib.de> im Auftrag von Jens Schwidder <schwidder at zib.de>
Gesendet: Montag, 13. Dezember 2021 17:48
An: kobv-opus-tester at zib.de
Betreff: Re: [Kobv-opus-tester] Log4j Sicherheitslücke
Lieber Herr Hilbig,
die OPUS 4 Entwicklung nutzt momentan Solr 7.7.2. Diese Version ist von
den aktuellen Probleme mit Log4j betroffen ist. Es hängt davon ab, wie
das Logging konfiguriert ist. Dazu gibt es Informationen auf der Apache
Solr Security Webseite.
https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228
[https://solr.apache.org/theme/images/solr_og_image.png?v=4dd59757]<https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228>
Solr™ Security News - Apache Solr<https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228>
solr.apache.org
How to report a security issue If you believe you have discovered a vulnerability in Solr, you may first want to consult the list of...
Welche Apache Solr bei Ihnen installiert ist kann ich nicht sagen, aber
das kann unter Umständen eine andere Version sein, da Solr nicht mit den
OPUS 4 Updates aktualisiert wird. Ähnlich wie Apache2, MySQL und andere
Software, die von OPUS 4 benötigt wird, muss Solr separat gewartet
werden auch wenn es momentan noch im Installationsskript auftaucht.
Ein Vorschlag auf der Webseite zum Problem, scheint darauf hinzudeuten,
dass es möglich ist, wie von Ihnen vorgeschlagen, die Datei
log4j-1.2.14.jar durch eine neuere Version auszutauschen.
Viel mehr kann ich Ihnen im Augenblick nicht sagen. Ein Upgrade von OPUS
4 löst das Problem mit Solr nicht. Der OPUS 4 Code ist PHP.
Ob wir kurzfristig auf Solr 8.11.1+ umsteigen können kann ich nicht noch
beantworten. In jedem Fall müsste Solr lokal eigenständig aktualisiert
bzw. neu installiert werden. Das ist nichts was das OPUS 4 Update machen
kann.
Viele Grüße
Jens Schwidder
On 13.12.21 15:57, Hilbig, Olaf wrote:
> Lieber Herr Schwidder,
>
> ist die aktuelle OPUS 4-Version vom log4j-Exploit betroffen?
>
> Ich habe eine alte OPUS-Version (OPUS 4.4.5). Diese benutzt log4j-1.2.14.jar, und das ist an anderer Stelle ebenfalls vulnerabel.
> Gäbe es eine einfache Möglichkeit, dort nur solr/log4j zu ersetzen, oder ist es einfacher (besser wohl sowieso), das gesamte OPUS upzugraden?
>
> Viele Grüße,
> Olaf Hilbig
>
>
>
>
>
> --
> Kobv-opus-tester mailing list
> Kobv-opus-tester at zib.de
> https://listserv.zib.de/mailman/listinfo/kobv-opus-tester
>
--
==============================================================
Jens Schwidder
Kooperativer Bibliotheksverbund Berlin-Brandenburg (KOBV)
c/o Konrad-Zuse-Zentrum für Informationstechnik Berlin (ZIB)
Takustr. 7, D-14195 Berlin
Telefon: (030) 841 85 - 308
Telefax: (030) 841 85 - 269
E-Mail: schwidder at zib.de
WWW: http://www.kobv.de
==============================================================
--
Kobv-opus-tester mailing list
Kobv-opus-tester at zib.de
https://listserv.zib.de/mailman/listinfo/kobv-opus-tester
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://listserv.zib.de/pipermail/kobv-opus-tester/attachments/20211214/b3f5d97a/attachment.html>
Mehr Informationen über die Mailingliste Kobv-opus-tester