Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Julian, 21.12: "Okapi v4.11.1 mit log4j 2.17.0 wurde veröffentlicht. Es schützt Okapi und alle Module, an die Okapi Anfragen weiterleitet. Es schützt vor Denial-of-Service-Angriffen, die log4j 2.17.0 behebt (CVE-2021-45105). Module müssen nicht auf log4j 2.17.0 aktualisiert werden, da Okapi diese ungültigen Anfragen herausfiltert, damit sie die Module nicht erreichen.
Alle FOLIO-Installationen (Iris, Juniper, Kiwi, ...) sollten auf diese Version aktualisiert werden."

...

Edge-Module: ... (bis gepatchte Version existiert, sicherheitshalber abschalten)

...


Zookeeper und Kafka

Sind nicht betroffen, da beides Log4J 1.x nutzt und FOLIO nicht die JMS Konfiguration TopicBindingName bzw. TopicConnectionFactoryBindingName setzt.

Weitere Infos unter https://kafka.apache.org/cve-list und https://issues.apache.org/jira/browse/ZOOKEEPER-4423

Optional kann man auch Zookeeper und Kafka patchen. Eigentlich sollten diese jedoch von außen gar nicht erreichbar sein (in abgesicherten Netzwerken), so das sie kein Sicherheitsrisiko hervorrufen sollten. Um ganz sicher zu gehen, kann man es so patchen:

Code Block
sudo su
cd /opt/kafka-zk
vim docker-compose.yml

Bei Zookeeper eine Zeile "environment" hinzu fügen, so dass es hinterher so aussieht:

Code Block
services:
  zookeeper:
    image: wurstmeister/zookeeper
    container_name: zookeeper
    restart: always
    ports:
      - "2181:2181"
    environment:
      SERVER_JVMFLAGS: "-Dlog4j2.formatMsgNoLookups=true"

Bei Kafka ebenfalls eine Zeile im "environment" hinzufügen:

Code Block
  kafka:
    image: wurstmeister/kafka
    container_name: kafka
    restart: always
    ports:
      - "9092:9092"
      - "29092:29092"
    environment:
      KAFKA_LOG4J_OPTS: "-Dlog4j2.formatMsgNoLookups=true"
       ....

Die geänderte Datei docker-compose.yml abspeichern.

Mit docker-compose up -d  die Container neubauen und schon werden die Prozesse mit den  JAVA_OPTS  gestartet.