[Kitodo] [Kitodo-Verein] Log4j-Sicherheitslücke und Kitodo.Production und Kitodo-Presentation

Henning Gerhardt henning.gerhardt at slub-dresden.de
Mo Dez 13 16:13:46 CET 2021 

Liebe Kolleginnen und Kollegen,

ich möchte eine Ergänzung zur Absicherung des ElasticSearch Dienstes 
machen:

Man kann analog zu der Absicherung des Tomcats via 
-Dlog4j2.formatMsgNoLookups=True dies auch in entweder 
/etc/default/elasticsearch (Debian basierend) oder 
/etc/elasticsearch/jvm.options die genannte Option setzen. Nach einem 
Neustart des ElasticSearch Dienstes sollte die gesetzte JVM-Option 
sichtbar sein.


Viele Grüße

     Henning Gerhardt

On 12/13/21 3:47 PM, Robert Strötgen wrote:
> Liebe Kolleginnen und Kollegen,
>
> in Absprache mit dem Release-Management möchte ich Sie darauf hinweisen,
> dass auch Kitodo.Production und Kitodo.Presetation von der
> Sicherheitslücke in Log4j betroffen sind, die ja auch in den Medien
> ausführlich behandelt wurde.
>
> Siehe dazu z.B.
>
> https://www.lunasec.io/docs/blog/log4j-zero-day/
>
> https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.html?nn=520690
>
> In Kitodo betroffen sind:
>
> * Tomcat für Kitodo.Production
> * Elastic Search für Kitodo.Production
> * Solr für Kitodo.Presentation
>
> Für Kitodo.Production wurde bereits ein Hotfix erstellt:
> https://github.com/kitodo/kitodo-production/pull/4874
>
> Was sollten Sie aktuell unternehmen?
>
> Tomcat
>
> * Sichern Sie den Start von Tomcat mit
> 'JAVA_OPTS="–Dlog4j2.formatMsgNoLookups=True"'
>
> * Sollte Tomcat mit der Anpassung nicht mehr starten, entfernen Sie
> stattdessen die angreifbarer Klasse aus der Bibliothek mit 'zip -q -d
> log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class'
> im Lib-Verzeichnis des Tomact
>
> Elastic Search
>
> * Führen Sie hier ebenfalls 'zip -q -d log4j-core-*.jar
> org/apache/logging/log4j/core/lookup/JndiLookup.class' im
> Lib-Verzeichnis des Elastic Search
>
> Solr
>
> * Sichern Sie den Start von Solr mit
> 'JAVA_OPTS="–Dlog4j2.formatMsgNoLookups=True"'
>
> Bitte warten Sie nicht einer Beseitigung des Sicherheitsproblems, weil
> dieses bereits aktiv ausgenutzt wird.
>
> Wenn Sie unsicher sind, fragen Sie ggf. Dienstleister nach Unterstützung.
>
> Besten Gruß
> Robert Strötgen
>

-- 
Henning Gerhardt

Sächsische Landesbibliothek -
Staats- und Universitätsbibliothek Dresden (SLUB)
Abt. Informationstechnologie (IT), Ref. 2.5 - Digitale Objekte
01054 Dresden
Besucheradresse: Zellescher Weg 18, 01069 Dresden
Tel.: +49 351 4677 227
E-Mail: henning.gerhardt at slub-dresden.de

www.slub-dresden.de


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5406 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <http://bibservices.biblio.etc.tu-bs.de/pipermail/kitodo/attachments/20211213/5f7811a0/attachment-0002.bin>
-------------- nächster Teil --------------
_______________________________________________
Kitodo-Verein mailing list
Kitodo-Verein at kitodo.org
https://maillist.slub-dresden.de/cgi-bin/mailman/listinfo/kitodo-verein

Mehr Informationen über die Mailingliste Kitodo