Julian, 21.12: "Okapi v4.11.1 mit log4j 2.17.0 wurde veröffentlicht. Es schützt Okapi und alle Module, an die Okapi Anfragen weiterleitet. Es schützt vor Denial-of-Service-Angriffen, die log4j 2.17.0 behebt (CVE-2021-45105). Module müssen nicht auf log4j 2.17.0 aktualisiert werden, da Okapi diese ungültigen Anfragen herausfiltert, damit sie die Module nicht erreichen.
Alle FOLIO-Installationen (Iris, Juniper, Kiwi, ...) sollten auf diese Version aktualisiert werden."
...
Edge-Module: ... (bis gepatchte Version existiert, sicherheitshalber abschalten)
...
Zookeeper und Kafka
Sind nicht betroffen, da beides Log4J 1.x nutzt und FOLIO nicht die JMS Konfiguration TopicBindingName bzw. TopicConnectionFactoryBindingName setzt.
Weitere Infos unter https://kafka.apache.org/cve-list und https://issues.apache.org/jira/browse/ZOOKEEPER-4423
Optional kann man auch Zookeeper und Kafka patchen. Eigentlich sollten diese jedoch von außen gar nicht erreichbar sein (in abgesicherten Netzwerken), so das sie kein Sicherheitsrisiko hervorrufen sollten. Um ganz sicher zu gehen, kann man es so patchen:
Code Block |
---|
sudo su
cd /opt/kafka-zk
vim docker-compose.yml |
Bei Zookeeper eine Zeile "environment" hinzu fügen, so dass es hinterher so aussieht:
Code Block |
---|
services:
zookeeper:
image: wurstmeister/zookeeper
container_name: zookeeper
restart: always
ports:
- "2181:2181"
environment:
SERVER_JVMFLAGS: "-Dlog4j2.formatMsgNoLookups=true" |
Bei Kafka ebenfalls eine Zeile im "environment" hinzufügen:
Code Block |
---|
kafka:
image: wurstmeister/kafka
container_name: kafka
restart: always
ports:
- "9092:9092"
- "29092:29092"
environment:
KAFKA_LOG4J_OPTS: "-Dlog4j2.formatMsgNoLookups=true"
.... |
Die geänderte Datei docker-compose.yml abspeichern.
Mit docker-compose up -d
die Container neubauen und schon werden die Prozesse mit den JAVA_OPTS gestartet.