W związku z wykryciem podatności CVE-2021-44228 w Apache Log4j2, który jest wykorzystywany w Apache Solr, konieczne jest podjęcie działań, w celu wyeliminowania potencjalnego ryzyka. Zgodnie z opisem na stronie https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228, podatność dotyczy wszystkich wersji Apache Solr, wykorzystujących biblotekę Log4j2. Znajdują się tam również możliwe do wykonania działania, które mają na celu wyeliminowanie problemu.
Jedną z możliwości jest ręczna aktualizacja komponentu log4j2, do wersji min. 2.16.0, w której problem został wyeliminowany. Ze strony https://logging.apache.org/log4j/2.x/download.html należy pobrać Apache Log4j 2 binary (zip).
Przykładowa instrukcja podmiany plików log4j2.
W trakcie tworzenia artykułu, najnowszą wersją jest 2.16.0 (ta wersja zostanie użyta w instrukcji).
Ze strony https://logging.apache.org/log4j/2.x/download.html należy pobrać apache-log4j-2.16.0-bin.zip.
W opisywanym przypadku, komponent wyszukiwania został zainstalowany na dysku D:, w domyślnym folderze, na maszynie, która jest dostępna pod nazwą DNS solrserver.
Przed przystąpieniem do podmiany plików, należy zatrzymać usługę Webcon BPS Search Service
Z folderu D:\Program Files\WEBCON\WEBCON BPS Search Server\Search Cluster\Solr\contrib\prometheus-exporter\lib\ usunąć następujące pliki:
log4j-api-2.13.2.jar
log4j-core-2.13.2.jar
log4j-slf4j-impl-2.13.2.jar
Z folderu D:\Program Files\WEBCON\WEBCON BPS Search Server\Search Cluster\Solr\server\lib\ext\ usunąć następujące pliki:
log4j-1.2-api-2.13.2.jar
log4j-api-2.13.2.jar
log4j-core-2.13.2.jar
log4j-slf4j-impl-2.13.2.jar
log4j-web-2.13.2.jar
Z pobranego archiwum skopiować pliki:
log4j-api-2.16.0.jar
log4j-core-2.16.0.jar
log4j-slf4j-impl-2.16.0.jar
do folderu D:\Program Files\WEBCON\WEBCON BPS Search Server\Search Cluster\Solr\contrib\prometheus-exporter\lib\
Z pobranego archiwum skopiować pliki:
log4j-1.2-api-2.16.0.jar
log4j-api-2.16.0.jar
log4j-core-2.16.0.jar
log4j-slf4j-impl-2.16.0.jar
log4j-web-2.16.0.jar
do folderu D:\Program Files\WEBCON\WEBCON BPS Search Server\Search Cluster\Solr\server\lib\ext\
Uruchomić usługę Webcon BPS Search Service
Zweryfikować poprawność działania serwera wyszukiwania np. przez otwarcie w przeglądarce:
