Im Dezember 2021 wurden für Log4j einige kritische Sichersheitslücken gemeldet ( CVE-2021-44228 , CVE-2021-45046 ).
Wir haben für die MyCoRe- und MIR-Versionen 2018.06, 2019.06, 2020.06 und 2021.06 jeweils einen Snapshot mit der aktuellen Log4j-Version 2.17.1 bereitgestellt. Die Snapshots stehen bei Sonatype zur Verfügung und können dort heruntergeladen werden. Ein entsprechendes Release wird zeitnah nachgeliefert. Möchte man kein Update herunterladen, kann in MyCoRe die poml.xml angepasst und die Log4j-Version händisch aktualisiert werden. Möchte man die laufende MyCoRe-Anwendung nicht aktualisieren, kann ab Version 2017 die Log4j JAR-Datei auch direkt im Tomcat-Lib-Verzeichnis ausgetauscht werden.
Da auch SOLR von den Sicherheitslücken betroffen ist, empfehlen wir ebenfalls dringend den SOLR-Server, gemäß den Empfehlungen der SOLR-Community ( Webseite ), zu aktualisieren oder abzusichern.
Bei älteren MyCoRe-Versionen, die noch mit Log4j Version 1 laufen, müsste die betroffene Klasse aus den Log4j JAR-Dateien gelöscht werden. Dafür stellen sowohl Apache als auch die MyCoRe-Community keine Updates zur Verfügung.
Deutsch
English