agorum core open und pro: Information zur Sicherheitslücke CVE-2021-44228 in Apache Log4j

Update: 18.12.2021: Seit dem 14.12.2021 gibt es im agorum core plugin manager das Plug-in agorum core CVE 202144228 Log4j Patch, das die betroffenen Log4j Bibliotheken automatisch austauscht. Dieses Plug-in aktualisiert auf Log4j 2.17.

Über diese können Angreifer beliebigen Code ausführen lassen. Die CVE-Nummer dazu lautet: CVE-2021-44228

agorum core selbst ist von dieser Sicherheitslücke nicht betroffen. Das bedeutet, sofern Sie agorum core im Internet zur Verfügung stellen, kann diese Lücke nicht ausgenutzt werden.

Allerdings besitzt eine interne Komponente namens Apache Solr (die Suchmaschine von agorum core) diese Sicherheitslücke. Diese ist jedoch von außen nicht direkt erreichbar. Sofern jemand einen Login besitzt, kann diese Lücke jedoch ausgenutzt werden.

Wir werden die unten beschriebene Sofort-Maßnahme im Rahmen der Wartung heute Abend (13.12.2021) ab 20 Uhr durchführen. agorum cloud-Kunden müssen insofern nichts unternehmen. Im Rahmen der Maßnahme werden die Systeme neu gestartet.

Auch wenn diese Lücke nicht direkt genutzt werden kann, raten wir dennoch dringend zu folgender Sofort-Maßnahme, um diese Lücke zu schließen:

1. Bearbeiten Sie die Datei “INSTALLATIONS_VERZEICHNIS_AGORUM_CORE/solr/solr.sh”.
2. Fügen Sie hinter den beiden Einträgen “-Djute.maxbuffer=104857600” Folgendes ein: “-Dlog4j2.formatMsgNoLookups=True”
3. Als Ergebnis sehen die Zeilen wie folgt aus:

bin/solr start -force -cloud -p 8981 -z localhost:9981/solr -s ${CUR_DIR}/nodes/node/solr -m 2g -a “-Djetty.host=127.0.0.1 -Djute.maxbuffer=104857600 -Dlog4j2.formatMsgNoLookups=True”

• Beachten Sie, dass dieser Eintrag 2 mal vorkommt.
• Beachten Sie auch, dass bei Ihnen die Angabe des Speichers (-m 2g) anders aussehen könnte.
• Starten Sie nach der Änderung agorum core neu.

• Beachten Sie auch, dass bei Ihnen die Angabe des Speichers (-m 2g) anders aussehen könnte.
• Starten Sie nach der Änderung agorum core neu.

Die oben beschriebene Maßnahme ist eine temporäre Sofort-Maßnahme. Wir werden im Rahmen des nächsten agorum core-Updates die betroffene Bibliothek patchen bzw. eine Anleitung zum Patchen der Bibliothek zur Verfügung stellen.