[Kitodo] Log4j-Sicherheitslücke und Kitodo.Production und Kitodo-Presentation

Robert Strötgen r.stroetgen at tu-braunschweig.de
Mo Dez 13 15:47:03 CET 2021 

Liebe Kolleginnen und Kollegen,

in Absprache mit dem Release-Management möchte ich Sie darauf hinweisen, 
dass auch Kitodo.Production und Kitodo.Presetation von der 
Sicherheitslücke in Log4j betroffen sind, die ja auch in den Medien 
ausführlich behandelt wurde.

Siehe dazu z.B.

https://www.lunasec.io/docs/blog/log4j-zero-day/

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.html?nn=520690

In Kitodo betroffen sind:

* Tomcat für Kitodo.Production
* Elastic Search für Kitodo.Production
* Solr für Kitodo.Presentation

Für Kitodo.Production wurde bereits ein Hotfix erstellt: 
https://github.com/kitodo/kitodo-production/pull/4874

Was sollten Sie aktuell unternehmen?

Tomcat

* Sichern Sie den Start von Tomcat mit 
'JAVA_OPTS="–Dlog4j2.formatMsgNoLookups=True"'

* Sollte Tomcat mit der Anpassung nicht mehr starten, entfernen Sie 
stattdessen die angreifbarer Klasse aus der Bibliothek mit 'zip -q -d 
log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class' 
im Lib-Verzeichnis des Tomact

Elastic Search

* Führen Sie hier ebenfalls 'zip -q -d log4j-core-*.jar 
org/apache/logging/log4j/core/lookup/JndiLookup.class' im 
Lib-Verzeichnis des Elastic Search

Solr

* Sichern Sie den Start von Solr mit 
'JAVA_OPTS="–Dlog4j2.formatMsgNoLookups=True"'

Bitte warten Sie nicht einer Beseitigung des Sicherheitsproblems, weil 
dieses bereits aktiv ausgenutzt wird.

Wenn Sie unsicher sind, fragen Sie ggf. Dienstleister nach Unterstützung.

Besten Gruß
Robert Strötgen

-- 
Robert Strötgen
Technische Universität Braunschweig
Stellv. Direktor der Universitätsbibliothek
Leiter der Abteilung IT und forschungsnahe Services

Universitätsplatz 1, 38106 Braunschweig
+49 (0)531-391-5012
r.stroetgen at tu-braunschweig.de
www.ub.tu-braunschweig.de

_______________________________________________
Kitodo-Community mailing list
Kitodo-Community at kitodo.org
https://maillist.slub-dresden.de/cgi-bin/mailman/listinfo/kitodo-community

Mehr Informationen über die Mailingliste Kitodo