Liebe Kolleginnen und Kollegen,
ich möchte eine Ergänzung zur Absicherung des ElasticSearch Dienstes
machen:
Man kann analog zu der Absicherung des Tomcats via
-Dlog4j2.formatMsgNoLookups=True dies auch in entweder
/etc/default/elasticsearch (Debian basierend) oder
/etc/elasticsearch/jvm.options die genannte Option setzen. Nach einem
Neustart des ElasticSearch Dienstes sollte die gesetzte JVM-Option
sichtbar sein.
Viele Grüße
Henning Gerhardt
On 12/13/21 3:47 PM, Robert Strötgen wrote:
Liebe Kolleginnen und Kollegen,
in Absprache mit dem Release-Management möchte ich Sie darauf hinweisen,
dass auch Kitodo.Production und Kitodo.Presetation von der
Sicherheitslücke in Log4j betroffen sind, die ja auch in den Medien
ausführlich behandelt wurde.
Siehe dazu z.B.
https://www.lunasec.io/docs/blog/log4j-zero-day/
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-5…
In Kitodo betroffen sind:
* Tomcat für Kitodo.Production
* Elastic Search für Kitodo.Production
* Solr für Kitodo.Presentation
Für Kitodo.Production wurde bereits ein Hotfix erstellt:
https://github.com/kitodo/kitodo-production/pull/4874
Was sollten Sie aktuell unternehmen?
Tomcat
* Sichern Sie den Start von Tomcat mit
'JAVA_OPTS="–Dlog4j2.formatMsgNoLookups=True"'
* Sollte Tomcat mit der Anpassung nicht mehr starten, entfernen Sie
stattdessen die angreifbarer Klasse aus der Bibliothek mit 'zip -q -d
log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class'
im Lib-Verzeichnis des Tomact
Elastic Search
* Führen Sie hier ebenfalls 'zip -q -d log4j-core-*.jar
org/apache/logging/log4j/core/lookup/JndiLookup.class' im
Lib-Verzeichnis des Elastic Search
Solr
* Sichern Sie den Start von Solr mit
'JAVA_OPTS="–Dlog4j2.formatMsgNoLookups=True"'
Bitte warten Sie nicht einer Beseitigung des Sicherheitsproblems, weil
dieses bereits aktiv ausgenutzt wird.
Wenn Sie unsicher sind, fragen Sie ggf. Dienstleister nach Unterstützung.
Besten Gruß
Robert Strötgen
--
Henning Gerhardt
Sächsische Landesbibliothek -
Staats- und Universitätsbibliothek Dresden (SLUB)
Abt. Informationstechnologie (IT), Ref. 2.5 - Digitale Objekte
01054 Dresden
Besucheradresse: Zellescher Weg 18, 01069 Dresden
Tel.: +49 351 4677 227
E-Mail: henning.gerhardt(a)slub-dresden.de
www.slub-dresden.de