Wie Sie sicher am Wochenende bereits in den Medien gehört haben, wurde am Freitag in den Abendstunden eine extrem kritische Sicherheitslücke bei der Java-Bibliothek "Log4j" bekannt. Dieser Open-Source-Dienst zur Protokollierung von Anfragen, kommt in zahlreichen Anwendungen zum Einsatz.
Betroffene Systeme weltweit
Es ist davon auszugehen, dass ein großer Teil der Internet-Server von der Sicherheitslücke betroffen sind. Darunter vermutlich auch u.a. Amazon, Microsoft, Netflix, Twitter, SAP, Apple und viele weitere Anbieter weltweit. Durch die Sicherheitslücke können Hacker ganze Systeme übernehmen, Schadsoftware wie z.B. Ransomware einschleusen und Daten stehlen. Es wurden weltweit bereits groß angelegte Angriffe bemerkt.
Aufgrund der Sicherheitsmeldung bei der Benutzung der Java Bibliothek wird dringendst empfohlen die folgenden Schritte umzusetzen.
Dies gilt für Kunden, welche Netmail Services vor Ort betreiben.
Kunden, welche unseren Cloudservice nutzen, sind hiervon nicht betroffen. Die entsprechenden Maßnahmen sind bereits umgesetzt.
Gern unterstützen wir Sie bei dem Sicherheitsupdate. Unser Support ist unter Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! erreichbar.
Bitte aktualisieren Sie Ihren Indexserver wie folgt:
On Linux VMs for both 6.4.X and 6.5.X
Update the solr.sh in opt/ma/netmail/sbin folder adding the -Dlog4j2.formatMsgNoLookups=true to the SOLR_ARGS:
“ \current_argument_list> \
-Ddisable.configEdit=true \
-Dlog4j2.formatMsgNoLookups=true"
Update both netmail_zkcli.sh scripts found in the data folders for zookeeper and solr, typically var/netmail/index/bin and var/netmail/zookeeper/bin to add the -Dlog4j2.formatMsgNoLookups=true
java -Dlog4j.configuration=file:$SOLR_ZK_CLI_DIR/netmail_zkcli/log4j2.xml -Dlog4j2.formatMsgNoLookups=true
Für Rückfragen stehen wir Ihnen zur Verfügung.