
<html>


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


</head>


<body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">


<div class="">


<div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">


Liebe Kolleginnen und Kollegen,</div>


<div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">


<br class="">


</div>


<div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">


normalerweise lese ich in dieser Mailingliste nur. Wir nutzen auch kein OPUS4, aber Solr.</div>


</div>


<div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">


Laut den Infos hier:</div>


<div dir="auto" style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">


<font color="#000000" class=""><span style="caret-color: rgb(0, 0, 0);" class=""><a href="https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228" class="">https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228</a></span></font></div>


<div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">


<br class="">


</div>


<div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">


insbesondere</div>


<div dir="auto" style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">


<span style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);" class="">"</span><font color="#000000" class=""><span style="caret-color: rgb(0, 0, 0);" class="">Mitigation: Any of the following are enough to prevent this vulnerability for Solr servers:</span></font></div>


<font color="#000000" class=""><span style="caret-color: rgb(0, 0, 0);" class=""><br class="">


</span></font>


<div class=""><font color="#000000" class=""><span style="caret-color: rgb(0, 0, 0);" class=""><span class="Apple-tab-span" style="white-space:pre"></span>• Upgrade to Solr 8.11.1 or greater (when available), which will include an updated version of the log4j2


 dependency.<br class="">


</span></font></div>


<div class=""><font color="#000000" class=""><span style="caret-color: rgb(0, 0, 0);" class=""><span class="Apple-tab-span" style="white-space:pre"></span>• Manually update the version of log4j2 on your runtime classpath and restart your Solr application.<br class="">


</span></font></div>


<div class=""><font color="#000000" class=""><span style="caret-color: rgb(0, 0, 0);" class=""><span class="Apple-tab-span" style="white-space:pre"></span>• (Linux/MacOS) Edit your solr.in.sh file to include: SOLR_OPTS="$SOLR_OPTS -Dlog4j2.formatMsgNoLookups=true"<br class="">


</span></font></div>


<div class=""><font color="#000000" class=""><span style="caret-color: rgb(0, 0, 0);" class=""><span class="Apple-tab-span" style="white-space:pre"></span>• (Windows) Edit your solr.in.cmd file to include: set SOLR_OPTS=%SOLR_OPTS% -Dlog4j2.formatMsgNoLookups=true<br class="">


</span></font></div>


<div dir="auto" style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">


<font color="#000000" class=""><span style="caret-color: rgb(0, 0, 0);" class=""><span class="Apple-tab-span" style="white-space: pre;"></span>• Follow any of the other mitgations listed at <a href="https://logging.apache.org/log4j/2.x/security.html" class="">https://logging.apache.org/log4j/2.x/security.html</a></span></font><span style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);" class="">"</span></div>


<div dir="auto" style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">


<span style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);" class=""><br class="">


</span></div>


<div dir="auto" style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">


<span style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);" class=""><br class="">


</span></div>


<div dir="auto" style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">


<span style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);" class="">wäre die einfachste Lösung:</span></div>


<div dir="auto" style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">


<font color="#000000" class=""><span style="caret-color: rgb(0, 0, 0);" class="">Edit your SOLR/bin/solr.in.sh file to include: SOLR_OPTS="$SOLR_OPTS -Dlog4j2.formatMsgNoLookups=true"</span></font></div>


<div class=""><br class="">


</div>


<div class=""><br class="">


</div>


<div class="">Wir haben diese Lösung gewählt. Und Solr Update kann man dann später in Ruhe machen. </div>


<div class="">Angaben selbstverständlich ohne Gewähr :-).</div>


<div class=""><br class="">


</div>


<div class=""><br class="">


</div>


<div class="">Schöne Grüße</div>


<div class="">Hermann Schwarz</div>


<div class=""><br class="">


</div>


<br class="">


<div class="">


<div dir="auto" style="text-align: start; text-indent: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">


<div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-transform: none; white-space: normal; word-spacing: 0px; text-decoration: none; -webkit-text-stroke-width: 0px; text-align: start; text-indent: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">


--</div>


<div dir="auto" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); letter-spacing: normal; text-transform: none; white-space: normal; word-spacing: 0px; text-decoration: none; -webkit-text-stroke-width: 0px; text-align: start; text-indent: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">


Hermann Schwarz<br class="">


DIPF | Leibniz-Institut für Bildungsforschung und Bildungsinformation<br class="">


Warschauer Str. 34-38, <br class="">


10243 Berlin<br class="">


Telefon: 030-293360-607<br class="">


<br class="">


<a href="https://www.edutags.de/" class="">https://www.edutags.de/</a><br class="">


https://www.lesen-in-deutschland.de/<br class="">


</div>


<div dir="auto" style="text-align: start; text-indent: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">


<a href="https://open-educational-resources.de/" class="">https://open-educational-resources.de/</a></div>


<div dir="auto" style="text-align: start; text-indent: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">


<br class="">


</div>


</div>


<br class="Apple-interchange-newline">


</div>


<div><br class="">


<blockquote type="cite" class="">


<div class="">Am 13.12.2021 um 18:24 schrieb Jens Schwidder <<a href="mailto:schwidder@zib.de" class="">schwidder@zib.de</a>>:</div>


<br class="Apple-interchange-newline">


<div class="">


<div class="">Lieber Herr Hilbig,<br class="">


<br class="">


ich muss mich korrigieren. Die Abhängigkeit von der Konfiguration wird nur für Solr Versionen vor 7.4 angegeben. Solr 7.7.2 ist wohl also betroffen. Allerdings ist es schwer einzuschätzen welche Konsequenzen das wirklich für OPUS 4 hat.<br class="">


<br class="">


Der Solr Server sollte normalerweise nicht generell erreichbar sein, sondern nur Anfragen vom OPUS 4 Server beantworten. OPUS 4 ist PHP Code. Ich kann nicht sagen, ob es möglich ist dieses Problem auszunutzen indem man einen bösartigen String in das Suchfeld


 eingibt.<br class="">


<br class="">


Apache Solr 8.11.1 soll das Problem nicht mehr haben, aber die Version wurde noch nicht veröffentlich. Der aktuelle Solr Download ist immer noch 8.11.0.<br class="">


<br class="">


Viele Grüße<br class="">


<br class="">


Jens<br class="">


<br class="">


On 13.12.21 17:48, Jens Schwidder wrote:<br class="">


<blockquote type="cite" class="">Lieber Herr Hilbig,<br class="">


die OPUS 4 Entwicklung nutzt momentan Solr 7.7.2. Diese Version ist von den aktuellen Probleme mit Log4j betroffen ist. Es hängt davon ab, wie das Logging konfiguriert ist. Dazu gibt es Informationen auf der Apache Solr Security Webseite.<br class="">


<a href="https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228" class="">https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228</a> Welche Apache Solr bei Ihnen installiert ist kann ich


 nicht sagen, aber das kann unter Umständen eine andere Version sein, da Solr nicht mit den OPUS 4 Updates aktualisiert wird. Ähnlich wie Apache2, MySQL und andere Software, die von OPUS 4 benötigt wird, muss Solr separat gewartet werden auch wenn es momentan


 noch im Installationsskript auftaucht.<br class="">


Ein Vorschlag auf der Webseite zum Problem, scheint darauf hinzudeuten, dass es möglich ist, wie von Ihnen vorgeschlagen, die Datei log4j-1.2.14.jar durch eine neuere Version auszutauschen.<br class="">


Viel mehr kann ich Ihnen im Augenblick nicht sagen. Ein Upgrade von OPUS 4 löst das Problem mit Solr nicht. Der OPUS 4 Code ist PHP.<br class="">


Ob wir kurzfristig auf Solr 8.11.1+ umsteigen können kann ich nicht noch beantworten. In jedem Fall müsste Solr lokal eigenständig aktualisiert bzw. neu installiert werden. Das ist nichts was das OPUS 4 Update machen kann.<br class="">


Viele Grüße<br class="">


Jens Schwidder<br class="">


On 13.12.21 15:57, Hilbig, Olaf wrote:<br class="">


<blockquote type="cite" class="">Lieber Herr Schwidder,<br class="">


<br class="">


ist die aktuelle OPUS 4-Version vom log4j-Exploit betroffen?<br class="">


<br class="">


Ich habe eine alte OPUS-Version (OPUS 4.4.5). Diese benutzt log4j-1.2.14.jar, und das ist an anderer Stelle ebenfalls vulnerabel.<br class="">


Gäbe es eine einfache Möglichkeit, dort nur solr/log4j zu ersetzen, oder ist es einfacher (besser wohl sowieso), das gesamte OPUS upzugraden?<br class="">


<br class="">


Viele Grüße,<br class="">


Olaf Hilbig<br class="">


<br class="">


<br class="">


<br class="">


<br class="">


<br class="">


-- <br class="">


Kobv-opus-tester mailing list<br class="">


<a href="mailto:Kobv-opus-tester@zib.de" class="">Kobv-opus-tester@zib.de</a><br class="">


https://listserv.zib.de/mailman/listinfo/kobv-opus-tester<br class="">


<br class="">


</blockquote>


</blockquote>


<br class="">


-- <br class="">


==============================================================<br class="">


Jens Schwidder<br class="">


Kooperativer Bibliotheksverbund Berlin-Brandenburg (KOBV)<br class="">


c/o Konrad-Zuse-Zentrum für Informationstechnik Berlin (ZIB)<br class="">


Takustr. 7, D-14195 Berlin<br class="">


Telefon: (030) 841 85 - 308<br class="">


Telefax: (030) 841 85 - 269<br class="">


<a href="mailto:schwidder@zib.de" class="">E-Mail: schwidder@zib.de</a><br class="">


   WWW: <a href="http://www.kobv.de" class="">http://www.kobv.de</a><br class="">


==============================================================<br class="">


--<br class="">


Kobv-opus-tester mailing list<br class="">


<a href="mailto:Kobv-opus-tester@zib.de" class="">Kobv-opus-tester@zib.de</a><br class="">


https://listserv.zib.de/mailman/listinfo/kobv-opus-tester<br class="">


</div>


</div>


</blockquote>


</div>


<br class="">


</body>


</html>