[Security] Podatność CVE-2021-44228 w Apache Log4j2

Facebooktwitterpinterestlinkedinmail

W związku z wykryciem podatności CVE-2021-44228 w Apache Log4j2, który jest wykorzystywany w Apache Solr, konieczne jest podjęcie działań, w celu wyeliminowania potencjalnego ryzyka. Zgodnie z opisem na stronie https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228, podatność dotyczy wszystkich wersji Apache Solr, wykorzystujących biblotekę Log4j2. Znajdują się tam również możliwe do wykonania działania, które mają na celu wyeliminowanie problemu.

Jedną z możliwości jest ręczna aktualizacja komponentu log4j2, do wersji min. 2.15.0, w której problem został wyeliminowany. Ze strony https://logging.apache.org/log4j/2.x/download.html należy pobrać Apache Log4j 2 binary (zip).

Przykładowa instrukcja podmiany plików log4j2.

W trakcie tworzenia artykułu, najnowszą wersją jest 2.15.0 (ta wersja zostanie użyta w instrukcji).

Ze strony https://logging.apache.org/log4j/2.x/download.html należy pobrać apache-log4j-2.15.0-bin.zip.

W opisywanym przypadku, komponent wyszukiwania został zainstalowany na dysku D:, w domyślnym folderze, na maszynie, która jest dostępna pod nazwą DNS solrserver.

 

Przed przystąpieniem do podmiany plików, należy zatrzymać usługę Webcon BPS Search Service

Z folderu D:\Program Files\WEBCON\WEBCON BPS Search Server\Search Cluster\Solr\contrib\prometheus-exporter\lib\ usunąć następujące pliki:

log4j-api-2.13.2.jar

log4j-core-2.13.2.jar

log4j-slf4j-impl-2.13.2.jar

 

Z folderu D:\Program Files\WEBCON\WEBCON BPS Search Server\Search Cluster\Solr\server\lib\ext\ usunąć następujące pliki:

log4j-1.2-api-2.13.2.jar

log4j-api-2.13.2.jar

log4j-core-2.13.2.jar

log4j-slf4j-impl-2.13.2.jar

log4j-web-2.13.2.jar

 

Z pobranego archiwum skopiować pliki:

log4j-api-2.15.0.jar

log4j-core-2.15.0.jar

log4j-slf4j-impl-2.15.0.jar

do folderu D:\Program Files\WEBCON\WEBCON BPS Search Server\Search Cluster\Solr\contrib\prometheus-exporter\lib\

 

Z pobranego archiwum skopiować pliki:

log4j-1.2-api-2.15.0.jar

log4j-api-2.15.0.jar

log4j-core-2.15.0.jar

log4j-slf4j-impl-2.15.0.jar

log4j-web-2.15.0.jar

do folderu D:\Program Files\WEBCON\WEBCON BPS Search Server\Search Cluster\Solr\server\lib\ext\

Uruchomić usługę Webcon BPS Search Service

 

Zweryfikować poprawność działania serwera wyszukiwania np. przez otwarcie w przeglądarce:

http://solrserver:8983

http://solrserver:8983/solr/BPS_Activities/query?q=*&rows=1

http://solrserver:8983/solr/BPS_Elements/query?q=*&rows=1