Lagebild: Gefahr durch kritische Log4Shell-Lücke ungebrochen

Lagebild: Gefahr durch kritische Log4Shell-Lücke ungebrochen

Die Gefahr durch die „kritische“ Sicherheitslücke in der Java-Logging-Bibliothek Log4j ist nach wie vor allgegenwärtig, auch wenn es bereits seit Ende 2021 Patches gibt. Das Problem ist, dass die Bibliothek in unzähliger Software zum Einsatz kommt, was das Patchen erschwert. Sicherheitsforscher von Rezilion machen nun eine Bestandsaufnahme. Die Ergebnisse sollten Admins alarmieren. Die Schwachstelle wird uns noch längere Zeit beschäftigen.

Angreifer können die Lücke (CVE-2021-44228) vergleichsweise einfach ausnutzen, indem sie bestimmte Anfragen an verwundbare Systeme stellen. Ist die Attacke erfolgreich, können sie Schadcode ausführen und Server vollständig kompromittieren. Kurz nach dem die Lücke im Dezember 2021 publik wurde, setzten Angreifer an der Schwachstelle an und infizierten Computer mit Ransomware.

In ihrem Bericht „Log4Shell 4 Months Later: Are You Still Vulnerable?“ führt Rezilion unter anderem aus, dass von 17.840 Open-Source-Paketen, die Log4j nutzen, nur 40 Prozent eine abgesicherte Version der Bibliothek einsetzen. Bei ihrer Suche stießen sie zudem auf 90.000 Open-Source-Container, die angreifbar sind. Als Beispiel nennen sie Apache Solr. Etwa Apache Storm soll erst im April 2022 gepatcht worden sein.

Den Log4j-Download-Statistiken von Sonatype zufolge gehen seit Bekanntwerden der Schwachstelle 40 Prozent der Downloads auf verwundbare Versionen der Bibliothek zurück. Derzeit steht der Wert für die vergangenen 24 Stunden immer noch bei 36 Prozent.

Admins und Softwareentwickler sollten also dringend prüfen, dass sie gegen Log4Shell abgesicherte Versionen einsetzen. Damit man nicht völlig den Überblick verliert, wo die Bibliothek überall zum Einsatz kommt, pflegt ein Sicherheitsforscher eine inoffizielle Liste.

Gegen Log4Shell abgesicherte Log4j-Versionen:

  • Für Java 6: 2.3.2
  • Für Java 7: 2.12.4
  • Für Java 8: 2.17.1


(des)

Zur Startseite

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.