<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">
<div class="">Hallo zusammen,</div>
<div class=""><br class="">
</div>
<div class="">kleine Ergänzung von mir:</div>
<div class=""><br class="">
</div>
<div class="">da es weitere Lücken entdeckt wurden (in Version 2.17.0 behoben), ist wohl das beste log4j2 upzudaten:</div>
<div class=""><a href="https://logging.apache.org/log4j/2.x/security.html#" class="">https://logging.apache.org/log4j/2.x/security.html#</a></div>
<div class=""><br class="webkit-block-placeholder">
</div>
<div class="">
<div dir="auto" style="text-align: start; text-indent: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">
Auch Solr sollte (u. Umständen, falls Windows Plattform) auf die aktuellste Version gebracht werden:</div>
<div dir="auto" style="text-align: start; text-indent: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">
<a href="https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228" class="">https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228</a><br class="">
<div dir="auto" style="text-align: start; text-indent: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">
<br class="">
</div>
<div dir="auto" style="text-align: start; text-indent: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">
Wie bereits von Jens Schwidder erwähnt, sind die Probleme nicht OPUS4-, sondern Java/Solr- spezifisch und müssen leider eigenständig behoben werden.</div>
<div dir="auto" style="text-align: start; text-indent: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">
<br class="">
</div>
<div dir="auto" style="text-align: start; text-indent: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">
Mit besten Grüßen</div>
<div dir="auto" style="text-align: start; text-indent: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">
Hermann Schwarz</div>
<div dir="auto" style="text-align: start; text-indent: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">
DIPF Berlin</div>
</div>
<br class="Apple-interchange-newline">
</div>
<div><br class="">
<blockquote type="cite" class="">
<div class="">Am 14.12.2021 um 09:08 schrieb Hilbig, Olaf <<a href="mailto:olaf.hilbig@sub.uni-hamburg.de" class="">olaf.hilbig@sub.uni-hamburg.de</a>>:</div>
<br class="Apple-interchange-newline">
<div class="">
<div id="divtagdefaultwrapper" dir="ltr" style="font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; font-size: 12pt; font-family: Calibri, Helvetica, sans-serif;" class="">
<div style="margin-top: 0px; margin-bottom: 0px;" class="">Lieber Herr Schwidder,</div>
<div style="margin-top: 0px; margin-bottom: 0px;" class=""><br class="">
</div>
<div style="margin-top: 0px; margin-bottom: 0px;" class="">vielen Dank für Ihre schnelle Hilfe.</div>
<div style="margin-top: 0px; margin-bottom: 0px;" class="">Das hilft mir schon sehr weiter.</div>
<div style="margin-top: 0px; margin-bottom: 0px;" class=""><br class="">
</div>
<div style="margin-top: 0px; margin-bottom: 0px;" class="">Viele Grüße,</div>
<div style="margin-top: 0px; margin-bottom: 0px;" class="">Olaf Hilbig<br class="">
</div>
<br class="">
<br class="">
<div style="" class="">
<div class="">
<hr tabindex="-1" style="display: inline-block; width: 1071.125px;" class="">
<div id="x_divRplyFwdMsg" dir="ltr" class=""><font face="Calibri, sans-serif" style="font-size: 11pt;" class=""><b class="">Von:</b><span class="Apple-converted-space"> </span>Kobv-opus-tester <<a href="mailto:kobv-opus-tester-bounces@zib.de" class="">kobv-opus-tester-bounces@zib.de</a>>
 im Auftrag von Jens Schwidder <<a href="mailto:schwidder@zib.de" class="">schwidder@zib.de</a>><br class="">
<b class="">Gesendet:</b><span class="Apple-converted-space"> </span>Montag, 13. Dezember 2021 17:48<br class="">
<b class="">An:</b><span class="Apple-converted-space"> </span><a href="mailto:kobv-opus-tester@zib.de" class="">kobv-opus-tester@zib.de</a><br class="">
<b class="">Betreff:</b><span class="Apple-converted-space"> </span>Re: [Kobv-opus-tester] Log4j Sicherheitslücke</font>
<div class=""> </div>
</div>
</div>
<font size="2" class=""><span style="font-size: 10pt;" class="">
<div class="PlainText">Lieber Herr Hilbig,<br class="">
<br class="">
die OPUS 4 Entwicklung nutzt momentan Solr 7.7.2. Diese Version ist von<span class="Apple-converted-space"> </span><br class="">
den aktuellen Probleme mit Log4j betroffen ist. Es hängt davon ab, wie<span class="Apple-converted-space"> </span><br class="">
das Logging konfiguriert ist. Dazu gibt es Informationen auf der Apache<span class="Apple-converted-space"> </span><br class="">
Solr Security Webseite.<br class="">
<br class="">
<a href="https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228" id="LPlnk369697" previewremoved="true" class="">https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228</a>
<div id="LPBorder_GT_16394692197070.0843118548993167" style="margin-bottom: 20px; overflow: auto; width: 1093px; text-indent: 0px;" class="">
<table id="LPContainer_16394692197020.18347526377692358" role="presentation" cellspacing="0" style="width: 983.6875px; background-color: rgb(255, 255, 255); position: relative; overflow: auto; padding-top: 20px; padding-bottom: 20px; margin-top: 20px; border-top-width: 1px; border-top-style: dotted; border-top-color: rgb(200, 200, 200); border-bottom-width: 1px; border-bottom-style: dotted; border-bottom-color: rgb(200, 200, 200);" class="">
<tbody class="">
<tr valign="top" style="border-spacing: 0px;" class="">
<td id="ImageCell_16394692197030.7118895302969854" colspan="1" style="width: 250px; position: relative; display: table-cell; padding-right: 20px;" class="">
<div id="LPImageContainer_16394692197030.5912907037402473" style="background-color: rgb(255, 255, 255); height: 130px; position: relative; margin: auto; display: table; width: 250px;" class="">
<a id="LPImageAnchor_16394692197040.8426206076913181" href="https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228" target="_blank" style="display: table-cell; text-align: center;" class=""><img aria-label="Vorschaubild mit ausgewähltem Link. Doppeltippen, um den Link zu öffnen." id="LPThumbnailImageID_16394692197040.48592693798304465" width="250" height="130" src="https://solr.apache.org/theme/images/solr_og_image.png?v=4dd59757" style="display: inline-block; max-width: 250px; max-height: 250px; height: 130px; width: 250px; border-width: 0px; vertical-align: bottom;" class=""></a></div>
</td>
<td id="TextCell_16394692197050.6139379181538558" colspan="2" style="vertical-align: top; position: relative; padding: 0px; display: table-cell;" class="">
<div id="LPRemovePreviewContainer_16394692197050.7985506362120965" class=""></div>
<div id="LPTitle_16394692197050.7663462670742653" style="top: 0px; color: rgb(0, 120, 215); font-weight: 400; font-size: 21px; font-family: wf_segoe-ui_light, "Segoe UI Light", "Segoe WP Light", "Segoe UI", "Segoe WP", Tahoma, Arial, sans-serif; line-height: 21px;" class="">
<a id="LPUrlAnchor_16394692197050.0975832693443921" href="https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228" target="_blank" style="text-decoration: none;" class="">Solr™ Security News - Apache Solr</a></div>
<div id="LPMetadata_16394692197060.6565929009965494" style="margin: 10px 0px 16px; color: rgb(102, 102, 102); font-weight: 400; font-family: wf_segoe-ui_normal, "Segoe UI", "Segoe WP", Tahoma, Arial, sans-serif; font-size: 14px; line-height: 14px;" class="">
<a href="http://solr.apache.org/" class="">solr.apache.org</a></div>
<div id="LPDescription_16394692197060.3231981016668013" style="display: block; color: rgb(102, 102, 102); font-weight: 400; font-family: wf_segoe-ui_normal, "Segoe UI", "Segoe WP", Tahoma, Arial, sans-serif; font-size: 14px; line-height: 20px; max-height: 100px; overflow: hidden;" class="">
How to report a security issue If you believe you have discovered a vulnerability in Solr, you may first want to consult the list of...</div>
</td>
</tr>
</tbody>
</table>
</div>
<br class="">
<br class="">
Welche Apache Solr bei Ihnen installiert ist kann ich nicht sagen, aber<span class="Apple-converted-space"> </span><br class="">
das kann unter Umständen eine andere Version sein, da Solr nicht mit den<span class="Apple-converted-space"> </span><br class="">
OPUS 4 Updates aktualisiert wird. Ähnlich wie Apache2, MySQL und andere<span class="Apple-converted-space"> </span><br class="">
Software, die von OPUS 4 benötigt wird, muss Solr separat gewartet<span class="Apple-converted-space"> </span><br class="">
werden auch wenn es momentan noch im Installationsskript auftaucht.<br class="">
<br class="">
Ein Vorschlag auf der Webseite zum Problem, scheint darauf hinzudeuten,<span class="Apple-converted-space"> </span><br class="">
dass es möglich ist, wie von Ihnen vorgeschlagen, die Datei<span class="Apple-converted-space"> </span><br class="">
log4j-1.2.14.jar durch eine neuere Version auszutauschen.<br class="">
<br class="">
Viel mehr kann ich Ihnen im Augenblick nicht sagen. Ein Upgrade von OPUS<span class="Apple-converted-space"> </span><br class="">
4 löst das Problem mit Solr nicht. Der OPUS 4 Code ist PHP.<br class="">
<br class="">
Ob wir kurzfristig auf Solr 8.11.1+ umsteigen können kann ich nicht noch<span class="Apple-converted-space"> </span><br class="">
beantworten. In jedem Fall müsste Solr lokal eigenständig aktualisiert<span class="Apple-converted-space"> </span><br class="">
bzw. neu installiert werden. Das ist nichts was das OPUS 4 Update machen<span class="Apple-converted-space"> </span><br class="">
kann.<br class="">
<br class="">
Viele Grüße<br class="">
<br class="">
Jens Schwidder<br class="">
<br class="">
<br class="">
<br class="">
On 13.12.21 15:57, Hilbig, Olaf wrote:<br class="">
> Lieber Herr Schwidder,<br class="">
><span class="Apple-converted-space"> </span><br class="">
> ist die aktuelle OPUS 4-Version vom log4j-Exploit betroffen?<br class="">
><span class="Apple-converted-space"> </span><br class="">
> Ich habe eine alte OPUS-Version (OPUS 4.4.5). Diese benutzt log4j-1.2.14.jar, und das ist an anderer Stelle ebenfalls vulnerabel.<br class="">
> Gäbe es eine einfache Möglichkeit, dort nur solr/log4j zu ersetzen, oder ist es einfacher (besser wohl sowieso), das gesamte OPUS upzugraden?<br class="">
><span class="Apple-converted-space"> </span><br class="">
> Viele Grüße,<br class="">
> Olaf Hilbig<br class="">
><span class="Apple-converted-space"> </span><br class="">
><span class="Apple-converted-space"> </span><br class="">
><span class="Apple-converted-space"> </span><br class="">
><span class="Apple-converted-space"> </span><br class="">
><span class="Apple-converted-space"> </span><br class="">
> --<br class="">
> Kobv-opus-tester mailing list<br class="">
><span class="Apple-converted-space"> </span><a href="mailto:Kobv-opus-tester@zib.de" class="">Kobv-opus-tester@zib.de</a><br class="">
><span class="Apple-converted-space"> </span><a href="https://listserv.zib.de/mailman/listinfo/kobv-opus-tester" id="LPlnk710868" previewremoved="true" class="">https://listserv.zib.de/mailman/listinfo/kobv-opus-tester</a><br class="">
><span class="Apple-converted-space"> </span><br class="">
<br class="">
--<span class="Apple-converted-space"> </span><br class="">
==============================================================<br class="">
Jens Schwidder<br class="">
Kooperativer Bibliotheksverbund Berlin-Brandenburg (KOBV)<br class="">
c/o Konrad-Zuse-Zentrum für Informationstechnik Berlin (ZIB)<br class="">
Takustr. 7, D-14195 Berlin<br class="">
Telefon: (030) 841 85 - 308<br class="">
Telefax: (030) 841 85 - 269<br class="">
  E-Mail:<span class="Apple-converted-space"> </span><a href="mailto:schwidder@zib.de" class="">schwidder@zib.de</a><br class="">
     WWW:<span class="Apple-converted-space"> </span><a href="http://www.kobv.de/" id="LPlnk440729" previewremoved="true" class="">http://www.kobv.de</a><br class="">
==============================================================<br class="">
--<br class="">
Kobv-opus-tester mailing list<br class="">
<a href="mailto:Kobv-opus-tester@zib.de" class="">Kobv-opus-tester@zib.de</a><br class="">
<a href="https://listserv.zib.de/mailman/listinfo/kobv-opus-tester" id="LPlnk271056" previewremoved="true" class="">https://listserv.zib.de/mailman/listinfo/kobv-opus-tester</a><br class="">
</div>
</span></font></div>
</div>
<span style="caret-color: rgb(0, 0, 0); font-family: Verdana; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;" class="">--</span><br style="caret-color: rgb(0, 0, 0); font-family: Verdana; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class="">
<span style="caret-color: rgb(0, 0, 0); font-family: Verdana; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;" class="">Kobv-opus-tester
 mailing list</span><br style="caret-color: rgb(0, 0, 0); font-family: Verdana; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class="">
<a href="mailto:Kobv-opus-tester@zib.de" style="font-family: Verdana; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px;" class="">Kobv-opus-tester@zib.de</a><br style="caret-color: rgb(0, 0, 0); font-family: Verdana; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class="">
<a href="https://listserv.zib.de/mailman/listinfo/kobv-opus-tester" style="font-family: Verdana; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px;" class="">https://listserv.zib.de/mailman/listinfo/kobv-opus-tester</a><br style="caret-color: rgb(0, 0, 0); font-family: Verdana; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class="">
</div>
</blockquote>
</div>
<br class="">
</body>
</html>