13.12.2021

Lesezeit: 6 Minuten

Sicherheitslücke in Log4j / Security incident in Log4j*

Die aktuelle Sicherheitslücke in Log4j wird aktuell mit Hochdruck durch die Teams der dkd geprüft und bearbeitet.

logging.apache.org/log4j/2.x/security.html
cve.mitre.org/cgi-bin/cvename.cgi

Alle Updates im Überblick

13.12.2021 - 08:00 Uhr
Potentiell betroffene Systeme und Projekte werden identifiziert.

13.12.2021 - 09:15 Uhr
Potentiell betroffene Systeme und Projekte wurden identifiziert und werden abgesichert.

13.12.2021 - 10:30 Uhr
hosted-solr.com - Die Hosted-Solr-Systeme sind teilweise von der Sicherheitslücke betroffen. Wir arbeiten an einer Absicherung bzw. Aktualisierung der Infrastruktur. Das Risiko wird aktuell dadurch reduziert, dass die SOLR-Kerne nicht direkt erreichbar sind, sondern per htaccess zugriffsgeschützt sind. 

13.12.2021 - 13:15 Uhr
hosted-solr.com
 - Die SOLR-Kerne werden aktuell für alle Kunden abgesichert und neu provisioniert.

13.12.2021 - 13:45 Uhr
Apache Solr für TYPO3 / EXT:solr 11.0
 - Für die im Rahmen der EXT:solr bereitgestellten SOLR-Docker-Images wurde ein Update bereitgestellt.
hub.docker.com/r/typo3solr/ext-solr/tags
Bitte aktualisieren Sie schnellstmöglich die von Ihnen installierten und betriebenen Docker-Container mit SOLR-Server. Alle weiteren Versionen sind in Bearbeitung und stehen zeitnah zur Verfügung.

13.12.2021 - 13:55 Uhr
Absicherung von Apache Solr-Servern
 - Wenn Sie selbst Apache SOLR-Server betreiben, führen Sie eine Absicherung bzw. Aktualisierung Ihrer Systeme wie folgt durch: https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228

13.12.2021 - 14:30 Uhr
Apache Solr für TYPO3 / EXT:solr  - Für die im Rahmen der EXT:solr bereitgestellten SOLR-Docker-Images wurde ein Update bereitgestellt.
EXT:solr 11.1 - github.com/TYPO3-Solr/ext-solr/releases/tag/11.1.2
EXT:solr 10.0 - github.com/TYPO3-Solr/ext-solr/releases/tag/10.0.5
Bitte aktualisieren Sie schnellstmöglich die von Ihnen installierten und betriebenen Docker-Container mit SOLR-Server. Alle weiteren Versionen sind in Bearbeitung und stehen zeitnah zur Verfügung.

13.12.2021 - 15:50 Uhr
hosted-solr.com - Alle auf hosted-solr.com für unsere Kunden bereitgestellten SOLR-Server wurden abgesichert.

13.12.2021 - 16:20 Uhr
Apache Solr für TYPO3 / EXT:solr  9.0
 - Für die im Rahmen der EXT:solr 9.0 bereitgestellten SOLR-Docker-Images wurde ein Update bereitgestellt.
github.com/TYPO3-Solr/ext-solr/releases/tag/9.0.3
Bitte aktualisieren Sie schnellstmöglich die von Ihnen installierten und betriebenen Docker-Container mit SOLR-Server. Alle weiteren Versionen sind in Bearbeitung und stehen zeitnah zur Verfügung.

13.12.2021 - 16:35 Uhr
Apache Solr für TYPO3 / EXT:solr
  Für die im Rahmen der EXT:solr bereitgestellten SOLR-Docker-Images wurden ein Updates bereitgestellt.

  • EXT:solr 11.1.2, Apache Solr 8.9.0
  • EXT:solr 11.0.5, Apache Solr 8.5.2
  • EXT:solr 10.0.5, Apache Solr 8.2.0
  • EXT:solr 9.0.3(neuer Release!), Apache Solr 7.6 upgraded zu 7.7.3
  • EXT:solr 8.1.2, Apache Solr 6.6.3
  • EXT:solr 8.0.3, Apache Solr 6.6.3
  • EXT:solr 7.5.3, Apache Solr 6.6.3
  • EXT:solr 6.5.1, Apache Solr 6.6.3

Wenn Sie selbst Apache SOLR-Server betreiben, führen Sie eine Absicherung bzw. Aktualisierung Ihrer Systeme wie folgt durch: solr.apache.org/security.html
Für weitere Informationen/Hinweise nutzen Sie bitte den EXT:solr TYPO3-Slack-Channel: https://typo3.slack.com/archives/C02FF05Q4

13.12.2021 - 18:15 Uhr
hosted-solr.com
 Wir analysieren im Moment noch technische Probleme beim Starten von SOLR-Kernen, die auf SOLR 8.5.1 / 8.5.2 basieren. Diese Kerne stehen im Moment nicht zur Verfügung.

13.12.2021 - 18:45 Uhr
Apache Tika
 ist in den Versionen 2.0.0+ verwundbar, wir benutzen 1.24!
Eine Liste der vom log4j-Incident betroffenen Systeme finden Sie hier:
https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

13.12.2021 - 20:20 Uhr
hosted-solr.com
 Achtung! Nutzer deren SOLR-Kerne 8.5 für EXT:solr 11.0 nach dem Sicherheitsupdate nicht funktional sind müssen Ihre Kerne auf hosted-solr.com löschen, neu anlegen, konfigurieren in TYPO3 und eine Reindexierung starten.
Wir bitten die Unannehmlichkeiten zu entschuldigen. Sollten Sie weiteren Support benötigen kontaktieren Sie uns bitte https://hosted-solr.com/de/kontakt/

13.12.2021- 21:30 Uhr
Apache Tika-Server
 - Da es aktuell noch unbekannt ist, ob der Apache Tika-Server in Bezug auf die log4j-Sicherheitslücke verwundbar ist,  empfehlen wir die von Ihnen selbst betriebenen Tika-Server herunterzufahren und zu Apache Solr-Tika-Cell zu wechseln.

14.12.2021 - 11:00 Uhr
hosted-solr.com
 - Alle auf hosted-solr.com bereitgestellten Kerne sind funktional und abgesichert.  

15.12.2021 - 08:30 Uhr
Wir prüfen aktuell eine weitere Sicherheitslücke für Log4j auf unseren Systemen und in unseren Diensten und Produkten.
https://www.cve.org/CVERecord?id=CVE-2021-45046

15.12.2021 - 12:00 Uhr
EXT:solr
 - Inoffiziell ist Apache Solr lt. github.com/apache/solr/pull/454 nicht vom Incident "CVE-2021-45046 betroffen. Die EXT:solr Images hub.docker.com/r/typo3solr/ext-solr werden vorerst nicht angepasst.

15.12.2021 - 16:15 Uhr
hosted-solr.com
 - Alle laufenden Solr Cores wurden erneut aktualisiert, um einen sicheren Betrieb zu gewährleisten. Zukünftige Cores sind bereits ab Start sicher.

15.12.2021 - 18:50 Uhr
EXT:solr
 - Alle Kundenprojekte mit Solr-Integration für EXT:solr wurden durch die Projekt- und Administrationsteams abgesichert.

17.12.2021 - 10:00 Uhr
Update Apache Solr CVE-2021-44228 / CVE-2021-45046
 - https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228
"Apache Solr-Versionen sind nicht anfällig für das Folgeproblem CVE-2021-45046, da die von Solr verwendeten MDC-Muster für die Namen von Sammlung, Shard, Replikat, Kern und Knoten sowie eine potenzielle Trace-ID verwendet werden, die alle bereinigt sind. Die Übergabe der Systemeigenschaft log4j2.formatMsgNoLookups=true (wie unten beschrieben) eignet sich zur Abschwächung."

17.12.2021 - 12:15 Uhr
TYPO3 und Log4j
 - Offizielle Sicherheitsmeldung zu TYPO3 und Log4j finden Sie hier: https://typo3.org/security/advisory/typo3-psa-2021-004

17.12.2021 - 13:00 Uhr
Alle von uns betreuten Kundeninstallationen und Systeme wurden geprüft und abgesichert, alle auf hosted-solr.com bereitgestellten Solr-Kerne wurden abgesichert. Alle in Bezug zu EXT:solr stehenden Komponenten wurden abgesichert und aktualisierte Versionen bereitgestellt. 
Sollten Sie weitere Beratung oder Unterstützung benötigen können Sie uns jederzeit kontaktieren.

Dieser Blogpost wird fortlaufend aktualisiert.


 

The current security vulnerability in Log4j is currently being checked and processed at full speed by the dkd teams.

logging.apache.org/log4j/2.x/security.html
cve.mitre.org/cgi-bin/cvename.cgi

13.12.2021 - 08:00 hrs
Potentially affected systems and projects will be identified.

13.12.2021 - 09:15 hrs
Potentially affected systems and projects have been identified and are being secured.

13.12.2021 - 10:30 hrs
hosted-solr.com - The Hosted Solr systems are partially affected by the security vulnerability. We are working on securing and updating the infrastructure. The risk is currently reduced by the fact that the SOLR cores are not directly accessible, but are protected by htaccess.

13.12.2021 - 13:15 hrs
hosted-solr.com
 - The SOLR cores will be secured and re-provisioned for all customers.

13.12.2021 - 13:45 hrs
Apache Solr for TYPO3 / EXT:solr 11.0
 - An update has been provided for the SOLR Docker images provided as part of EXT:solr.
hub.docker.com/r/typo3solr/ext-solr/tags
Please update your installed and operated Docker containers with SOLR server as soon as possible. All other versions are in progress and will be available soon.

13.12.2021 - 13:55 hrs
Securing Apache Solr servers
 -  If you run Apache SOLR servers yourself, please secure or update your systems as follows: https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228

13.12.2021 - 14:30 hrs
Apache Solr for TYPO3 / EXT:solr - An update has been provided for the SOLR Docker images provided as part of EXT:solr.
EXT:solr 11.1 - github.com/TYPO3-Solr/ext-solr/releases/tag/11.1.2
EXT:solr 10.0 - github.com/TYPO3-Solr/ext-solr/releases/tag/10.0.5
Please update your installed and running Docker containers with SOLR server as soon as possible. All other versions are in progress and will be available soon.

13.12.2021 - 15:50 hrs
hosted-solr.com
 - All SOLR servers provided on hosted-solr.com for our customers have been secured.

13.12.2021 - 16:20 hrs
Apache Solr for TYPO3 / EXT:solr 9.0
 - An update has been provided for the SOLR Docker images provided as part of EXT:solr 9.0.
github.com/TYPO3-Solr/ext-solr/releases/tag/9.0.3
Please update as soon as possible the Docker containers you have installed and run with SOLR server. All other versions are in progress and will be available soon.

13.12.2021 - 16:35 hrs
Apache Solr for TYPO3 / EXT:solr
 Updates have been made available for the SOLR Docker images provided as part of EXT:solr.

  • EXT:solr 11.1.2, Apache Solr 8.9.0
  • EXT:solr 11.0.5, Apache Solr 8.5.2
  • EXT:solr 10.0.5, Apache Solr 8.2.0
  • EXT:solr 9.0.3(new release!), Apache Solr 7.6 upgraded to 7.7
  • EXT:solr 8.1.2, Apache Solr 6.6.3
  • EXT:solr 8.0.3, Apache Solr 6.6.3
  • EXT:solr 7.5.3, Apache Solr 6.6.3
  • EXT:solr 6.5.1, Apache Solr 6.6.3

If you run Apache SOLR servers yourself, secure or update your systems as follows: solr.apache.org/security.html

For further information/hints please use the EXT:solr TYPO3 slack channel: typo3.slack.com/archives/C02FF05Q4

13.12.2021 - 18:15 hrs
hosted-solr.com
 We are currently still analysing technical problems when starting SOLR cores based on SOLR 8.5.1 / 8.5.2. These cores are not available at the moment.

13.12.2021 - 18:45 hrs
Apache Tika
 is vulnerable in versions 2.0.0+, we use 1.24!
A list of systems affected by the log4j incident can be found here: https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

13.12.2021 - 20:20 hrs
hosted-solr.com Attention! Users whose SOLR cores 8.5 are not functional for EXT:solr 11.0 after the security update must delete their cores on hosted-solr.com, create new ones, configure them in TYPO3 and start a re-indexing.
We apologise for the inconvenience. If you need further support, please contact us at https://hosted-solr.com/de/kontakt/.

13.12.2021 - 21:30 hrs
Apache Tika Server
 - As it is currently unknown whether the Apache Tika server is vulnerable to the log4j vulnerability, we recommend shutting down the Tika servers you run yourself and switching to Apache Solr-Tika-Cell.

14.12.2021 - 11:00 hrs
hosted-solr.com
 - All cores provided on hosted-solr.com are functional and secured.  

15.12.2021 - 08:30 hrs
We are currently investigating another security vulnerability for Log4j on our systems and in our services and products.
https://www.cve.org/CVERecord?id=CVE-2021-45046

15.12.2021 - 12:00 hrs
EXT:solr
 - Unofficially, Apache Solr is not affected by the incident "CVE-2021-45046" according to https://github.com/apache/solr/pull/454#issuecomment-994117444. The EXT:solr images hub.docker.com/r/typo3solr/ext-solr will not be adapted for the time being.

15.12.2021 - 16:15 hrs
hosted-solr.com
 - All running Solr cores have been updated again to ensure safe operation. Future cores are secure from the start.

15.12.2021 - 18:50 hrs
EXT:solr
 - All customer projects with Solr integration were secured by the project and administration teams.

17.12.2021 - 10:00 hrs
Update Apache Solr CVE-2021-44228 / CVE-2021-45046
 - https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228
"Apache Solr releases are not vulnerable to the followup CVE-2021-45046, because the MDC patterns used by Solr are for the collection, shard, replica, core and node names, and a potential trace id, which are all sanitized. Passing system property log4j2.formatMsgNoLookups=true (as described below) is suitable to mitigate."

17.12.2021 - 12:15 hrs
TYPO3 and Log4j
 - Official security message for TYPO3 and Log4j can be found here: https://typo3.org/security/advisory/typo3-psa-2021-004

17.12.2021 - 13:00 hrs
All customer installations and systems we support have been checked and secured, all Solr cores provided on hosted-solr.com have been secured. All EXT:solr related components have been secured and updated versions provided. 
If you need further advice or support you can contact us at any time.

This blogpost will be updated continuously.