Endlich verfügbar: mit dem neuen Versionsupdate von CKAN wird eine große Schwachstelle beseitigt: Die neue CKAN-Version unterstützt die Version 8 die neueste Version der Suchmaschine Apache SOLR. Warum das wichtig ist und was im Versionsupdate sonst noch von Interesse, haben wir hier kurz zusammengestelltDas Update ist am 19.Januar 2021 veröffentlicht worden. Es enthält Änderungen für die Versionen 2.8 und 2.9. Damit sind nun die aktuellsten unterstützten Versionen

• CKAN 2.9.5
• CKAN 2.8.10

Die wichtigsten Änderungen betreffen Fehlerkorrekturen, mit denen auch Sicherheitsschwachstellen beseitigt werden. Weitere Änderungen sind:

• Unterstützung von SOLR 8 parallel zur alten Version SOLR 6. Die alte Version wird vorerst noch unterstützt, bis sie dann in CKAN 2.10 rausfliegt
• Die Registrierung von Benutzern ohne Email-Adresse wurde entfernt
• Für GET-Requests (Web-Abfragen) wurde ein Timeout-Parameter in der Konfiguration eingeführt

WICHTIG: SOLR 8 wird nur noch in CKAN 2.9.5 und höher unterstützt, nicht mehr in 2.8.x

Warum ist das Update so wichtig?

Die im Dezember 2021 entdeckte sehr kritische Log4J Schwachstelle betraf CKAN insofern, dass die SOLR Suchmaschine Log4J nutzt. Glücklicherweise aber nur die alte Version 6 Suchmaschine, bei der das Problem nicht oder nur sehr unwahrscheinlich auftrat. Eine alte Version einzusetzen ist dennoch keine verlässliche Art, das Sicherheitsproblem auf Dauer zu lösen. Zudem ist SOLR bereits beim End-of-Life angekommen. Deswegen wurde mit Hochdruck daran gearbeitet, die Version 8 von SOLR in CKAN zu unterstützen.

ACHTUNG: Die Sicherheitseigenschaften von aktuellen Open Source Software-Versionen müssen ebenfalls im Auge gehalten werden. Wir empfehlen dringend, nur in Wartung befindliche Versionen von CKAN einzusetzen. Prüfen Sie, welche Version bei Ihnen im Einsatz ist und planen Sie ggf. eine Migration auf die gewarteten Versionen (siehe oben). Gerne unterstützen wir Sie dabei.