Manuelles Update zu log4j

Created by Ole Jankowski
Last updated: 21.12.2021 by patrick.bredebach
3 min read

Die aktuelle Bedrohungslage im Bereich log4j erfordert bei den Installationen vom BLP und BT 5.2 sowie actiware.io bei Bestandsinstallationen folgende Punkte bei der Anpassung der SOLR. Bei Dockerinstallationen ist ein einfacher Pull des jeweiligen Dockerimages notwendig. Bei Windowsneuinstallationen muss das Backendsetup ab Version BLP/BT 5.2.4 bzw. IO 1.0.4 verwendet werden.

 

Bei Windows Bestandsinstallationen darf das Setup nicht drüber installiert werden. Dort müssen folgende Schritte bei der SOLR durchgeführt werden:

Schritt 1

Zum Einsatz von Open JDK 9.181 auf Windowsbasis wird empfohlen: In der solr.in.cmd sollte am Ende folgender Befehl gesetzt werden:
set SOLR_OPTS=%SOLR_OPTS% -Dlog4j2.formatMsgNoLookups=true  

Die Datei findet man im Installationsverzeichnis des Searchservice, im Verzeichnis bin.
Der Verweis auf die Fehlerbehebung findet sich hier: https://logging.apache.org/log4j/2.x/security.html

Aufgrund der aktuellen Sicherheitslücke CVE-2021-45046 ist es nötig, die von Solr verwendeten log4j.jar Dateien mit einer neueren Version auszutauschen. Wir möchten euch hier eine Schritt-für-Schritt Anleitung an die Seite geben, welche Schritte alle durchgeführt werden müssen, um alle nötigen Maßnahmen durchzuführen, damit die Sicherheitslücke geschlossen werden kann.

Die hier im Artikel erwähnten Maßnahmen beruhen auf die Information, welche von der Apache Software Foundation für Solr ausgegeben wurden. Des Weiteren ist der Artikel nur auf Windows-Installationen anwendbar. Sollten Sie die Apache Solr in Docker betreiben, reicht zum Schließen der Sicherheitslücke ein docker re-pull und dein System ist aktualisiert.

Dieser Artikel bezieht sich auf bestehende Installation. Wenn bei deinem Kunden eine neue Installation vorgenommen wird, achten Sie darauf, dass Sie das Backend Setup ab Version 1.0.4.1216 anwenden. Hier haben wir für Sie bereits die unten stehenden Maßnahmen durchgeführt bzw. das aktuelle Solr Setup bereit gestellt.

Bei bereits bestehenden Installation empfehlen wir nicht das Backend Setup drüber zu installieren. Hier sollten die Schritte wie in diesem Artikel beschrieben durchgeführt werden.

Schritt 2: Vorbereitung für das Schließen der Sicherheitslücke

Als Erstes benötigen wir die aktuelle log4-Version (zum Zeitpunkt des Erstellens des Artikels ist dies die 2.17.0), die über folgenden Link heruntergeladen werden kann https://logging.apache.org/log4j/2.x/download.html

Nachdem das Paket heruntergeladen wurde, entpacken Sie das Paket auf Ihrem System.

Schritt 3 (optional): Entfernen der JdniLookup.class aus dem log4j-core Paket

Um eine höhere Sicherheit zu gewährleisten, kann die Klasse JndiLookup aus deiner log4j-core-2.17.0.jar entfernt werden. Benennen Sie hierfür die log4j-core-2.17.0.jar in log4j-core-2.17.0.zip um und öffnen Sie diese.

Nun navigieren Sie in der zip-Datei zu org\apache\logging\log4j\core\lookup, löschen die Datei JndiLookup.class und speichern die Änderungen ab.

Anschließend benennen Sie Ihre log4j-core-2.17.0.zip in log4j-core-2.17.0.jar zurück und Sie können sicher sein, dass die JdniLookup Funktion nicht mehr aufgerufen werden kann.

Schritt 4: Beenden des Search Services

Bevor jetzt auf dem System alles aktualisiert werden kann, müssen Sie zuvor den Search Service in Windows stoppen. Ist der Dienst gestoppt, kann mit dem nächsten Schritt weitergemacht werden.

Schritt 5: Austauschen der log4j Komponenten

Jetzt können wir für unseren Search Service die log4j Komponenten austauschen. Wenn Sie das Setup benutzt haben, finden Sie den Search Service unter <INSTALLDIR>\Server\SearchService.

Navigieren Sie jetzt zum Ordner server\lib\ext und tauschen die nachstehenden log4j Dateien gegen die neueren jar Dateien aus.

Schritt 6: Starten der Solr

Nachdem alles ausgetauscht worden ist, kann jetzt der Search Service unter Windows wieder gestartet werden und die Sicherheitslücke ist geschlossen.

 

Kunden mit ACTIWARE.IO (Funktionen von IoT und Storage), müssen zusätzlich die Elastic Search aktualisieren, sofern diese verwendet wird. Hier steht das Update auf die aktuelle Elastic Search in der Open Distro bereits zur Verfügung. https://opendistro.github.io/for-elasticsearch/
Hier ist die Version 1.13.3 zu verwenden. Ein Workaround besteht hier im Unterschied zur Solr nicht.