[Kobv-opus-tester] Log4j Sicherheitslücke
Schwarz, Hermann
schwarz at dipf.de
Mo Dez 20 13:06:39 CET 2021
Hallo zusammen,
kleine Ergänzung von mir:
da es weitere Lücken entdeckt wurden (in Version 2.17.0 behoben), ist wohl das beste log4j2 upzudaten:
https://logging.apache.org/log4j/2.x/security.html#
Auch Solr sollte (u. Umständen, falls Windows Plattform) auf die aktuellste Version gebracht werden:
https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228
Wie bereits von Jens Schwidder erwähnt, sind die Probleme nicht OPUS4-, sondern Java/Solr- spezifisch und müssen leider eigenständig behoben werden.
Mit besten Grüßen
Hermann Schwarz
DIPF Berlin
Am 14.12.2021 um 09:08 schrieb Hilbig, Olaf <olaf.hilbig at sub.uni-hamburg.de<mailto:olaf.hilbig at sub.uni-hamburg.de>>:
Lieber Herr Schwidder,
vielen Dank für Ihre schnelle Hilfe.
Das hilft mir schon sehr weiter.
Viele Grüße,
Olaf Hilbig
________________________________
Von: Kobv-opus-tester <kobv-opus-tester-bounces at zib.de<mailto:kobv-opus-tester-bounces at zib.de>> im Auftrag von Jens Schwidder <schwidder at zib.de<mailto:schwidder at zib.de>>
Gesendet: Montag, 13. Dezember 2021 17:48
An: kobv-opus-tester at zib.de<mailto:kobv-opus-tester at zib.de>
Betreff: Re: [Kobv-opus-tester] Log4j Sicherheitslücke
Lieber Herr Hilbig,
die OPUS 4 Entwicklung nutzt momentan Solr 7.7.2. Diese Version ist von
den aktuellen Probleme mit Log4j betroffen ist. Es hängt davon ab, wie
das Logging konfiguriert ist. Dazu gibt es Informationen auf der Apache
Solr Security Webseite.
https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228
[https://solr.apache.org/theme/images/solr_og_image.png?v=4dd59757]<https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228>
Solr™ Security News - Apache Solr<https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228>
solr.apache.org<http://solr.apache.org/>
How to report a security issue If you believe you have discovered a vulnerability in Solr, you may first want to consult the list of...
Welche Apache Solr bei Ihnen installiert ist kann ich nicht sagen, aber
das kann unter Umständen eine andere Version sein, da Solr nicht mit den
OPUS 4 Updates aktualisiert wird. Ähnlich wie Apache2, MySQL und andere
Software, die von OPUS 4 benötigt wird, muss Solr separat gewartet
werden auch wenn es momentan noch im Installationsskript auftaucht.
Ein Vorschlag auf der Webseite zum Problem, scheint darauf hinzudeuten,
dass es möglich ist, wie von Ihnen vorgeschlagen, die Datei
log4j-1.2.14.jar durch eine neuere Version auszutauschen.
Viel mehr kann ich Ihnen im Augenblick nicht sagen. Ein Upgrade von OPUS
4 löst das Problem mit Solr nicht. Der OPUS 4 Code ist PHP.
Ob wir kurzfristig auf Solr 8.11.1+ umsteigen können kann ich nicht noch
beantworten. In jedem Fall müsste Solr lokal eigenständig aktualisiert
bzw. neu installiert werden. Das ist nichts was das OPUS 4 Update machen
kann.
Viele Grüße
Jens Schwidder
On 13.12.21 15:57, Hilbig, Olaf wrote:
> Lieber Herr Schwidder,
>
> ist die aktuelle OPUS 4-Version vom log4j-Exploit betroffen?
>
> Ich habe eine alte OPUS-Version (OPUS 4.4.5). Diese benutzt log4j-1.2.14.jar, und das ist an anderer Stelle ebenfalls vulnerabel.
> Gäbe es eine einfache Möglichkeit, dort nur solr/log4j zu ersetzen, oder ist es einfacher (besser wohl sowieso), das gesamte OPUS upzugraden?
>
> Viele Grüße,
> Olaf Hilbig
>
>
>
>
>
> --
> Kobv-opus-tester mailing list
> Kobv-opus-tester at zib.de<mailto:Kobv-opus-tester at zib.de>
> https://listserv.zib.de/mailman/listinfo/kobv-opus-tester
>
--
==============================================================
Jens Schwidder
Kooperativer Bibliotheksverbund Berlin-Brandenburg (KOBV)
c/o Konrad-Zuse-Zentrum für Informationstechnik Berlin (ZIB)
Takustr. 7, D-14195 Berlin
Telefon: (030) 841 85 - 308
Telefax: (030) 841 85 - 269
E-Mail: schwidder at zib.de<mailto:schwidder at zib.de>
WWW: http://www.kobv.de<http://www.kobv.de/>
==============================================================
--
Kobv-opus-tester mailing list
Kobv-opus-tester at zib.de<mailto:Kobv-opus-tester at zib.de>
https://listserv.zib.de/mailman/listinfo/kobv-opus-tester
--
Kobv-opus-tester mailing list
Kobv-opus-tester at zib.de<mailto:Kobv-opus-tester at zib.de>
https://listserv.zib.de/mailman/listinfo/kobv-opus-tester
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://listserv.zib.de/pipermail/kobv-opus-tester/attachments/20211220/f2c32f22/attachment.html>
Mehr Informationen über die Mailingliste Kobv-opus-tester