Liebe Kolleginnen und Kollegen,
in Absprache mit dem Release-Management möchte ich Sie darauf hinweisen,
dass auch Kitodo.Production und Kitodo.Presetation von der
Sicherheitslücke in Log4j betroffen sind, die ja auch in den Medien
ausführlich behandelt wurde.
Siehe dazu z.B.
https://www.lunasec.io/docs/blog/log4j-zero-day/
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-5…
In Kitodo betroffen sind:
* Tomcat für Kitodo.Production
* Elastic Search für Kitodo.Production
* Solr für Kitodo.Presentation
Für Kitodo.Production wurde bereits ein Hotfix erstellt:
https://github.com/kitodo/kitodo-production/pull/4874
Was sollten Sie aktuell unternehmen?
Tomcat
* Sichern Sie den Start von Tomcat mit
'JAVA_OPTS="–Dlog4j2.formatMsgNoLookups=True"'
* Sollte Tomcat mit der Anpassung nicht mehr starten, entfernen Sie
stattdessen die angreifbarer Klasse aus der Bibliothek mit 'zip -q -d
log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class'
im Lib-Verzeichnis des Tomact
Elastic Search
* Führen Sie hier ebenfalls 'zip -q -d log4j-core-*.jar
org/apache/logging/log4j/core/lookup/JndiLookup.class' im
Lib-Verzeichnis des Elastic Search
Solr
* Sichern Sie den Start von Solr mit
'JAVA_OPTS="–Dlog4j2.formatMsgNoLookups=True"'
Bitte warten Sie nicht einer Beseitigung des Sicherheitsproblems, weil
dieses bereits aktiv ausgenutzt wird.
Wenn Sie unsicher sind, fragen Sie ggf. Dienstleister nach Unterstützung.
Besten Gruß
Robert Strötgen
--
Robert Strötgen
Technische Universität Braunschweig
Stellv. Direktor der Universitätsbibliothek
Leiter der Abteilung IT und forschungsnahe Services
Universitätsplatz 1, 38106 Braunschweig
+49 (0)531-391-5012
r.stroetgen(a)tu-braunschweig.de
www.ub.tu-braunschweig.de