log4j - Zero-Day Exploit Hotfix vom 10.12.2021

Owned by Ingolf Kuss
Last updated: Dec 21, 2021 by Axel Dörrer
1 min read

Julian, 21.12: "Okapi v4.11.1 mit log4j 2.17.0 wurde veröffentlicht. Es schützt Okapi und alle Module, an die Okapi Anfragen weiterleitet. Es schützt vor Denial-of-Service-Angriffen, die log4j 2.17.0 behebt (CVE-2021-45105). Module müssen nicht auf log4j 2.17.0 aktualisiert werden, da Okapi diese ungültigen Anfragen herausfiltert, damit sie die Module nicht erreichen.
Alle FOLIO-Installationen (Iris, Juniper, Kiwi, ...) sollten auf diese Version aktualisiert werden."

Seit 21.12.2021 muss für Okapi und die Module, die über Okapi anegesprochen werden, nur folgendes gemacht werden:

Auf die ge-patchte Okapi-Version upgraden und Okapi neu starten. Das startet auch alle Container neu:

apt-get update
apt-get upgrade
apt-get -y --allow-change-held-packages install okapi=4.11.1-1
-- Mit N einfach die alte Config behalten. 
-- Es gibt nichts Neues das default-mäßig aktiviert ist
apt-mark hold okapi
systemctl daemon-reload
systemctl restart okapi.service

Edge-Module: ... (bis gepatchte Version existiert, sicherheitshalber abschalten)


Zookeeper und Kafka

Sind nicht betroffen, da beides Log4J 1.x nutzt und FOLIO nicht die JMS Konfiguration TopicBindingName bzw. TopicConnectionFactoryBindingName setzt.

Weitere Infos unter https://kafka.apache.org/cve-list und https://issues.apache.org/jira/browse/ZOOKEEPER-4423