agorum core open und pro: Information zur Sicherheitslücke CVE-2021-44228 in Apache Log4j. In Apache Log4j ist eine kritische Sicherheitslücke namens “Log4Shell” enthalten. Über diese können Angreifer beliebigen Code ausführen lassen. Die CVE-Nummer dazu lautet: CVE-2021-44228. Alle wichtigen Informationen dazu finden Sie nachfolgend.
Update: 18.12.2021: Seit dem 14.12.2021 gibt es im agorum core plugin manager das Plugin agorum core CVE 202144228 Log4j Patch, das die betroffenen Log4j Bibliotheken automatisch austauscht. Dieses Plugin aktualisiert auf Log4j 2.17.
In Apache Log4j ist eine kritische Sicherheitslücke namens "Log4Shell" enthalten.
Über diese können Angreifer beliebigen Code ausführen lassen. Die CVE-Nummer dazu lautet: CVE-2021-44228
agorum core selbst ist von dieser Sicherheitslücke nicht betroffen. Das bedeutet, sofern Sie agorum core im Internet zur Verfügung stellen, kann diese Lücke nicht ausgenutzt werden.
Allerdings besitzt eine interne Komponente namens Apache Solr (die Suchmaschine von agorum core) diese Sicherheitslücke. Diese ist jedoch von außen nicht direkt erreichbar. Sofern jemand einen Login besitzt, kann diese Lücke jedoch ausgenutzt werden.
Für agorum cloud-Kunden:
Wir werden die unten beschriebene Sofort-Maßnahme im Rahmen der Wartung heute Abend (13.12.2021) ab 20 Uhr durchführen. agorum cloud-Kunden müssen insofern nichts unternehmen. Im Rahmen der Maßnahme werden die Systeme neu gestartet.
Für agorum On-Premises Kunden / Partner:
Auch wenn diese Lücke nicht direkt genutzt werden kann, raten wir dennoch dringend zu folgender Sofort-Maßnahme, um diese Lücke zu schließen:
Unter Linux:
- Bearbeiten Sie die Datei “INSTALLATIONS_VERZEICHNIS_AGORUM_CORE/solr/solr.sh”.
- Fügen Sie hinter den beiden Einträgen “-Djute.maxbuffer=104857600” Folgendes ein: “-Dlog4j2.formatMsgNoLookups=True”
- Als Ergebnis sehen die Zeilen wie folgt aus:
bin/solr start -force -cloud -p 8981 -z localhost:9981/solr -s ${CUR_DIR}/nodes/node/solr -m 2g -a “-Djetty.host=127.0.0.1 -Djute.maxbuffer=104857600 -Dlog4j2.formatMsgNoLookups=True”
- Beachten Sie, dass dieser Eintrag 2 mal vorkommt.
- Beachten Sie auch, dass bei Ihnen die Angabe des Speichers (-m 2g) anders aussehen könnte.
- Starten Sie nach der Änderung agorum core neu.
Unter Windows:
- Bearbeiten Sie die Datei “INSTALLATIONS_VERZEICHNIS_AGORUM_CORE/solr/solr.cmd”.
- Fügen Sie hinter den beiden Einträgen “-Djute.maxbuffer=104857600” Folgendes ein: “-Dlog4j2.formatMsgNoLookups=True”
- Als Ergebnis sehen die Zeilen wie folgt aus:
bin\solr.cmd start -cloud -p 8981 -z localhost:9981/solr -s “%CD%/nodes/node/solr” -m 2g -a “-Djetty.host=127.0.0.1 -Djute.maxbuffer=104857600 -Dlog4j2.formatMsgNoLookups=True”
- Beachten Sie auch, dass bei Ihnen die Angabe des Speichers (-m 2g) anders aussehen könnte.
- Starten Sie nach der Änderung agorum core neu.
Weiterführende Informationen
Die oben beschriebene Maßnahme ist eine temporäre Sofort-Maßnahme. Wir werden im Rahmen des nächsten agorum core-Updates die betroffene Bibliothek patchen bzw. eine Anleitung zum Patchen der Bibliothek zur Verfügung stellen.
