Um die Sicherheitslücke für Apache Solr 8.x zu schließen:
1. Umgebungsvariable setzen
export LOG4J_FORMAT_MSG_NO_LOOKUPS=true
2. Dateien ersetzen
Alte Dateien (in /opt/solr/server/lib/ext)
log4j-1.2-api-2.14.1.jar
log4j-api-2.14.1.jar
log4j-core-2.14.1.jar
log4j-slf4j-impl-2.14.1.jar
log4j-web-2.14.1.jar
ersetzen durch neue Dateien:
log4j-1.2-api-2.16.0.jar
log4j-api-2.16.0.jar
log4j-core-2.16.0.jar
log4j-slf4j-impl-2.16.0.jar
log4j-web-2.16.0.jar
3. Solr neu starten
service solr restart
/etc/init.d/solr restart
4. Remote Verbindungen blockieren
iptables -A INPUT -p tcp -s localhost --dport 8983 -j ACCEPT
iptables -A INPUT -p tcp --dport 8983 -j DROP
5. Apache Solr aktualisieren (sobald neue Version da ist)
Die letzte Version 8.11.0 ist nicht sicher(Stand 14.12.2021). Sobald 8.11.1 (oder höher) da ist, sollte man Solr aktualisieren.