Java: Log4J-Lücke bedroht Minecraft und viele weitere Anwendungen

Das weit verbreitete Logging-Werkzeug Log4J lässt sich unter Umständen sehr leicht übernehmen. Betroffen ist auch Minecraft.

Artikel veröffentlicht am ,
Die Java-Version von Minecraft ist von einer Sicherheitslücke betroffen, wie eventuell viele andere Anwendungen auch.
Die Java-Version von Minecraft ist von einer Sicherheitslücke betroffen, wie eventuell viele andere Anwendungen auch. (Bild: Microsoft)

Ein vermutlich aus China stammender Hacker hat Code zum Ausnutzen einer Sicherheitslücke in dem Logging-Werkzeug Log4J veröffentlicht. Das Brisante daran ist vor allem, dass sich die Lücke unter bestimmten Umständen wohl sehr leicht ausnutzen lässt und das Open-Source-Werkzeug Log4J zusätzlich dazu sehr weit verbreitet ist und in zahlreichen Web-Anwendungen zum Einsatz kommt.

Stellenmarkt
  1. IT Spezialist (m/w/d) für den 1st Level Support
    Modis IT Outsourcing GmbH, Erfurt, Leipzig (Home-Office)
  2. IT Inhouse Consultant CAD (m/w/d)
    MTU Aero Engines AG, München
Detailsuche

Wie Arstechnica berichtet, sind zuerst Seiten auf die Lücke aufmerksam geworden, die sich an die Spieler von Minecraft richten. Dort ist davor gewarnt worden, dass die Client- und Server-Versionen von Minecraft auf Basis von Java von der Lücke betroffen seien und zum Ausnutzen der Lücke auch Chat-Nachrichten ausreichen könnten. Theoretisch ließen sich so sämtliche Clients übernehmen, die sich an einem bestimmten Minecraft-Server anmelden.

Der Entwickler Mikael Hedberg alias Slicedlime bestätigt auf Twitter die gravierende Lücke und empfiehlt allen Nutzern einen Neustart. Der Launcher lädt dabei ein Update herunter, das die Lücke schließt. Server-Hosts sollten eine Konfiguration ändern, ein Update für den Minecraft-Server soll folgen.

Wenig Voraussetzungen für erfolgreiches Ausnutzen

Zur Lücke selbst schreiben die Sicherheitsspezialisten von Luna Sec, dass neben der verwundbaren Log4J-Version nur zwei Bedingungen für ein erfolgreiches Ausnutzen der Lücke notwendig seien. Zum einen braucht es dafür irgendeine Art Endpunkt, der per Protokoll-Aufruf (HTTP, TCP u.a.) verfügbar ist und Strings entgegennimmt. Hinzukommen muss dann nur noch ein Log-Aufruf, der jenen String über Log4J loggt.

Golem Akademie
  1. Einführung in Unity: virtueller Ein-Tages-Workshop
    17. Februar 2022, Virtuell
  2. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    8.–11. März 2022, Virtuell
Weitere IT-Trainings

In dem zuerst veröffentlichten Exploit wird durch den Aufruf dann via JNDI und LDAP auf eine Server-Instanz mit weiterem Schadcode verwiesen. Dabei wird aber nicht überprüft, ob es sich bei dem aufgerufenen Server um einen unter eigener Kontrolle handelt oder nicht. Das ermöglicht letztlich die Angriffe von außen.

Laut Luna Sec sind zwar einige Java-Versionen von dem Vorgehen über LDAP wegen anderer Vorkehrungen nicht konkret betroffen, es gebe für die Sicherheitslücke aber auch noch andere Angriffsvektoren, heißt es. Ähnliche Angriffe über JNDI werden seit Jahren immer wieder beschrieben.

Wie erwähnt ist Log4J extrem weit verbreitet und wird in vielen Projekten der Apache Foundation verwendet, wie etwa Flink, Solr oder Struts2. Auf dem Portal Hackernews wird außerdem berichtet, dass unter anderem auch Valves Steam oder Apples iCloud anfällig für die Lücke seien. Das gesamte Ausmaß der eventuell betroffenen Anwendungen und Online-Dienste ist derzeit noch nicht absehbar.

Auf Twitter gibt es inzwischen aber auch kleine und kurze Beispiele, die zeigen, wie die Lücke in Desktop-Anwendungen wie Ghidra ausgenutzt werden kann, wenn dort Dateien geladen werden. Es ist also davon auszugehen, dass eigentlich alle Anwendungen, die die Funktionen von Log4J samt JNDI für eigene Zwecke verwenden, verwundbar sein könnten.

Die Sicherheitslücke wird inzwischen mit der CVE-Nummer CVE-2021-44228 bezeichnet. Laut dem dazugehörigen Security-Eintrag der Entwickler sei das verwundbare Verhalten ab Version 2.15 deaktiviert. Diese steht zum Download bereit. Die Versionen 2.0 bis 2.14.1 seien jedoch theoretisch verwundbar. Gefunden worden ist die Lücke laut der Apache Foundation von Chen Zhaojun von Alibabas Cloud Security Team.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


masterx244 13. Dez 2021 / Themenstart

Android verwendet eine komplett andere VM. Früher die Dalvik-VM, später die Android...

bofhl 13. Dez 2021 / Themenstart

Es geht um den Text, der geloggt wird! Der wird durch ein so genanntes Lookup einer...

GL 12. Dez 2021 / Themenstart

Also ich konnte die Lücke mit JDK 14 nachvollziehen. Es ist übrigens im Grunde auch kein...

marjot87 10. Dez 2021 / Themenstart

Ist es meines Wissens nach schon.

sg (Golem.de) 10. Dez 2021 / Themenstart

Is gefixed. Danke

Kommentieren



Aktuell auf der Startseite von Golem.de
Raumfahrt
SpaceX-Rakete stürzt voraussichtlich im März auf den Mond

Ob sich Elon Musk so die erste Ankunft einer SpaceX-Rakete auf dem Mond vorgestellt hat?

Raumfahrt: SpaceX-Rakete stürzt voraussichtlich im März auf den Mond
Artikel
  1. Geforce RTX 3050 im Test: Wir hätten gerne einen Steam-Liebling gesehen
    Geforce RTX 3050 im Test
    Wir hätten gerne einen Steam-Liebling gesehen

    Upgrade dank DLSS und Raytracing: Die Geforce RTX 3050 ist die erste Nvidia-Grafikkarte mit diesen Funktionen für theoretisch unter 300 Euro.
    Ein Test von Marc Sauter

  2. Radikalisierung im Netz: Neue Taskforce des BKA nimmt Telegram ins Visier
    Radikalisierung im Netz
    Neue Taskforce des BKA nimmt Telegram ins Visier

    Das Bundeskriminalamt hat eine neue Taskforce gegründet, um gezielt Straftatbestände in Messengern wie Telegram zu verfolgen.

  3. Actionspiel: Crytek kündigt Crysis 4 an
    Actionspiel
    Crytek kündigt Crysis 4 an

    Großstadtruinen und Nano-Partikel: Mit einem Teaser stellt das Entwicklerstudio Crytek ganz offiziell Crysis 4 vor.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3090 24GB 2.349€ • RTX 3070 Ti 8GB 1.039€ • 1TB SSD PCIe 4.0 127,67€ • RX 6900XT 16 GB 1.495€ • Razer Gaming-Tastatur 155€ • LG OLED 65 Zoll 1.599€ • Razer Gaming-Maus 39,99€ • RX 6800XT 16GB 1.229€ • GOG New Year Sale: bis zu 90% Rabatt • Razer Gaming-Stuhl 179,99€ [Werbung]
    •  /