<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
</head>
<body dir="ltr">
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Helvetica,sans-serif;" dir="ltr">
<p>Lieber Herr Schwidder,</p>
<p><br>
</p>
<p>vielen Dank für Ihre schnelle Hilfe.</p>
<p>Das hilft mir schon sehr weiter.</p>
<p><br>
</p>
<p>Viele Grüße,</p>
<p>Olaf Hilbig<br>
</p>
<br>
<br>
<div style="color: rgb(0, 0, 0);">
<div>
<hr tabindex="-1" style="display:inline-block; width:98%">
<div id="x_divRplyFwdMsg" dir="ltr"><font style="font-size:11pt" face="Calibri, sans-serif" color="#000000"><b>Von:</b> Kobv-opus-tester <kobv-opus-tester-bounces@zib.de> im Auftrag von Jens Schwidder <schwidder@zib.de><br>
<b>Gesendet:</b> Montag, 13. Dezember 2021 17:48<br>
<b>An:</b> kobv-opus-tester@zib.de<br>
<b>Betreff:</b> Re: [Kobv-opus-tester] Log4j Sicherheitslücke</font>
<div> </div>
</div>
</div>
<font size="2"><span style="font-size:10pt;">
<div class="PlainText">Lieber Herr Hilbig,<br>
<br>
die OPUS 4 Entwicklung nutzt momentan Solr 7.7.2. Diese Version ist von <br>
den aktuellen Probleme mit Log4j betroffen ist. Es hängt davon ab, wie <br>
das Logging konfiguriert ist. Dazu gibt es Informationen auf der Apache <br>
Solr Security Webseite.<br>
<br>
<a href="https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228" id="LPlnk369697" previewremoved="true">https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228</a>
<div id="LPBorder_GT_16394692197070.0843118548993167" style="margin-bottom: 20px; overflow: auto; width: 100%; text-indent: 0px;">
<table id="LPContainer_16394692197020.18347526377692358" style="width: 90%; background-color: rgb(255, 255, 255); position: relative; overflow: auto; padding-top: 20px; padding-bottom: 20px; margin-top: 20px; border-top: 1px dotted rgb(200, 200, 200); border-bottom: 1px dotted rgb(200, 200, 200);" role="presentation" cellspacing="0">
<tbody>
<tr style="border-spacing: 0px;" valign="top">
<td id="ImageCell_16394692197030.7118895302969854" style="width: 250px; position: relative; display: table-cell; padding-right: 20px;" colspan="1">
<div id="LPImageContainer_16394692197030.5912907037402473" style="background-color: rgb(255, 255, 255); height: 130px; position: relative; margin: auto; display: table; width: 250px;">
<a id="LPImageAnchor_16394692197040.8426206076913181" style="display: table-cell; text-align: center;" href="https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228" target="_blank"><img style="display: inline-block; max-width: 250px; max-height: 250px; height: 130px; width: 250px; border-width: 0px; vertical-align: bottom;" aria-label="Vorschaubild mit ausgewähltem Link. Doppeltippen, um den Link zu öffnen." id="LPThumbnailImageID_16394692197040.48592693798304465" width="250" height="130" src="https://solr.apache.org/theme/images/solr_og_image.png?v=4dd59757"></a></div>
</td>
<td id="TextCell_16394692197050.6139379181538558" style="vertical-align: top; position: relative; padding: 0px; display: table-cell;" colspan="2">
<div id="LPRemovePreviewContainer_16394692197050.7985506362120965"></div>
<div id="LPTitle_16394692197050.7663462670742653" style="top: 0px; color: rgb(0, 120, 215); font-weight: 400; font-size: 21px; font-family: "wf_segoe-ui_light", "Segoe UI Light", "Segoe WP Light", "Segoe UI", "Segoe WP", Tahoma, Arial, sans-serif; line-height: 21px;">
<a id="LPUrlAnchor_16394692197050.0975832693443921" style="text-decoration: none;" href="https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228" target="_blank">Solr™ Security News - Apache Solr</a></div>
<div id="LPMetadata_16394692197060.6565929009965494" style="margin: 10px 0px 16px; color: rgb(102, 102, 102); font-weight: 400; font-family: "wf_segoe-ui_normal", "Segoe UI", "Segoe WP", Tahoma, Arial, sans-serif; font-size: 14px; line-height: 14px;">
solr.apache.org</div>
<div id="LPDescription_16394692197060.3231981016668013" style="display: block; color: rgb(102, 102, 102); font-weight: 400; font-family: "wf_segoe-ui_normal", "Segoe UI", "Segoe WP", Tahoma, Arial, sans-serif; font-size: 14px; line-height: 20px; max-height: 100px; overflow: hidden;">
How to report a security issue If you believe you have discovered a vulnerability in Solr, you may first want to consult the list of...</div>
</td>
</tr>
</tbody>
</table>
</div>
<br>
<br>
Welche Apache Solr bei Ihnen installiert ist kann ich nicht sagen, aber <br>
das kann unter Umständen eine andere Version sein, da Solr nicht mit den <br>
OPUS 4 Updates aktualisiert wird. Ähnlich wie Apache2, MySQL und andere <br>
Software, die von OPUS 4 benötigt wird, muss Solr separat gewartet <br>
werden auch wenn es momentan noch im Installationsskript auftaucht.<br>
<br>
Ein Vorschlag auf der Webseite zum Problem, scheint darauf hinzudeuten, <br>
dass es möglich ist, wie von Ihnen vorgeschlagen, die Datei <br>
log4j-1.2.14.jar durch eine neuere Version auszutauschen.<br>
<br>
Viel mehr kann ich Ihnen im Augenblick nicht sagen. Ein Upgrade von OPUS <br>
4 löst das Problem mit Solr nicht. Der OPUS 4 Code ist PHP.<br>
<br>
Ob wir kurzfristig auf Solr 8.11.1+ umsteigen können kann ich nicht noch <br>
beantworten. In jedem Fall müsste Solr lokal eigenständig aktualisiert <br>
bzw. neu installiert werden. Das ist nichts was das OPUS 4 Update machen <br>
kann.<br>
<br>
Viele Grüße<br>
<br>
Jens Schwidder<br>
<br>
<br>
<br>
On 13.12.21 15:57, Hilbig, Olaf wrote:<br>
> Lieber Herr Schwidder,<br>
> <br>
> ist die aktuelle OPUS 4-Version vom log4j-Exploit betroffen?<br>
> <br>
> Ich habe eine alte OPUS-Version (OPUS 4.4.5). Diese benutzt log4j-1.2.14.jar, und das ist an anderer Stelle ebenfalls vulnerabel.<br>
> Gäbe es eine einfache Möglichkeit, dort nur solr/log4j zu ersetzen, oder ist es einfacher (besser wohl sowieso), das gesamte OPUS upzugraden?<br>
> <br>
> Viele Grüße,<br>
> Olaf Hilbig<br>
> <br>
> <br>
> <br>
> <br>
> <br>
> --<br>
> Kobv-opus-tester mailing list<br>
> Kobv-opus-tester@zib.de<br>
> <a href="https://listserv.zib.de/mailman/listinfo/kobv-opus-tester" id="LPlnk710868" previewremoved="true">
https://listserv.zib.de/mailman/listinfo/kobv-opus-tester</a><br>
> <br>
<br>
-- <br>
==============================================================<br>
Jens Schwidder<br>
Kooperativer Bibliotheksverbund Berlin-Brandenburg (KOBV)<br>
c/o Konrad-Zuse-Zentrum für Informationstechnik Berlin (ZIB)<br>
Takustr. 7, D-14195 Berlin<br>
Telefon: (030) 841 85 - 308<br>
Telefax: (030) 841 85 - 269<br>
  E-Mail: schwidder@zib.de<br>
     WWW: <a href="http://www.kobv.de" id="LPlnk440729" previewremoved="true">http://www.kobv.de</a><br>
==============================================================<br>
--<br>
Kobv-opus-tester mailing list<br>
Kobv-opus-tester@zib.de<br>
<a href="https://listserv.zib.de/mailman/listinfo/kobv-opus-tester" id="LPlnk271056" previewremoved="true">https://listserv.zib.de/mailman/listinfo/kobv-opus-tester</a><br>
</div>
</span></font></div>
</div>
</body>
</html>