Re: [Kitodo] Log4j-Sicherheitslücke und Kitodo.Production und Kitodo-Presentation

Liebe Kolleginnen und Kollegen, in Absprache mit dem Release-Management möchte ich Sie darauf hinweisen, dass auch Kitodo.Production und Kitodo.Presetation von der Sicherheitslücke in Log4j betroffen sind, die ja auch in den Medien ausführlich behandelt wurde. Siehe dazu z.B. https://www.lunasec.io/docs/blog/log4j-zero-day/ https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-5… In Kitodo betroffen sind: * Tomcat für Kitodo.Production * Elastic Search für Kitodo.Production * Solr für Kitodo.Presentation Für Kitodo.Production wurde bereits ein Hotfix erstellt: https://github.com/kitodo/kitodo-production/pull/4874 Was sollten Sie aktuell unternehmen? Tomcat * Sichern Sie den Start von Tomcat mit 'JAVA_OPTS="–Dlog4j2.formatMsgNoLookups=True"' * Sollte Tomcat mit der Anpassung nicht mehr starten, entfernen Sie stattdessen die angreifbarer Klasse aus der Bibliothek mit 'zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class' im Lib-Verzeichnis des Tomact Elastic Search * Führen Sie hier ebenfalls 'zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class' im Lib-Verzeichnis des Elastic Search Solr * Sichern Sie den Start von Solr mit 'JAVA_OPTS="–Dlog4j2.formatMsgNoLookups=True"' Bitte warten Sie nicht einer Beseitigung des Sicherheitsproblems, weil dieses bereits aktiv ausgenutzt wird. Wenn Sie unsicher sind, fragen Sie ggf. Dienstleister nach Unterstützung. Besten Gruß Robert Strötgen