Java: Log4J-Lücke bedroht Minecraft und viele weitere Anwendungen

Das weit verbreitete Logging-Werkzeug Log4J lässt sich unter Umständen sehr leicht übernehmen. Betroffen ist auch Minecraft.

Artikel veröffentlicht am ,
Die Java-Version von Minecraft ist von einer Sicherheitslücke betroffen, wie eventuell viele andere Anwendungen auch.
Die Java-Version von Minecraft ist von einer Sicherheitslücke betroffen, wie eventuell viele andere Anwendungen auch. (Bild: Microsoft)

Ein vermutlich aus China stammender Hacker hat Code zum Ausnutzen einer Sicherheitslücke in dem Logging-Werkzeug Log4J veröffentlicht. Das Brisante daran ist vor allem, dass sich die Lücke unter bestimmten Umständen wohl sehr leicht ausnutzen lässt und das Open-Source-Werkzeug Log4J zusätzlich dazu sehr weit verbreitet ist und in zahlreichen Web-Anwendungen zum Einsatz kommt.

Wie Arstechnica berichtet, sind zuerst Seiten auf die Lücke aufmerksam geworden, die sich an die Spieler von Minecraft richten. Dort ist davor gewarnt worden, dass die Client- und Server-Versionen von Minecraft auf Basis von Java von der Lücke betroffen seien und zum Ausnutzen der Lücke auch Chat-Nachrichten ausreichen könnten. Theoretisch ließen sich so sämtliche Clients übernehmen, die sich an einem bestimmten Minecraft-Server anmelden.

Der Entwickler Mikael Hedberg alias Slicedlime bestätigt auf Twitter die gravierende Lücke und empfiehlt allen Nutzern einen Neustart. Der Launcher lädt dabei ein Update herunter, das die Lücke schließt. Server-Hosts sollten eine Konfiguration ändern, ein Update für den Minecraft-Server soll folgen.

Wenig Voraussetzungen für erfolgreiches Ausnutzen

Zur Lücke selbst schreiben die Sicherheitsspezialisten von Luna Sec, dass neben der verwundbaren Log4J-Version nur zwei Bedingungen für ein erfolgreiches Ausnutzen der Lücke notwendig seien. Zum einen braucht es dafür irgendeine Art Endpunkt, der per Protokoll-Aufruf (HTTP, TCP u.a.) verfügbar ist und Strings entgegennimmt. Hinzukommen muss dann nur noch ein Log-Aufruf, der jenen String über Log4J loggt.

In dem zuerst veröffentlichten Exploit wird durch den Aufruf dann via JNDI und LDAP auf eine Server-Instanz mit weiterem Schadcode verwiesen. Dabei wird aber nicht überprüft, ob es sich bei dem aufgerufenen Server um einen unter eigener Kontrolle handelt oder nicht. Das ermöglicht letztlich die Angriffe von außen.

Laut Luna Sec sind zwar einige Java-Versionen von dem Vorgehen über LDAP wegen anderer Vorkehrungen nicht konkret betroffen, es gebe für die Sicherheitslücke aber auch noch andere Angriffsvektoren, heißt es. Ähnliche Angriffe über JNDI werden seit Jahren immer wieder beschrieben.

Wie erwähnt ist Log4J extrem weit verbreitet und wird in vielen Projekten der Apache Foundation verwendet, wie etwa Flink, Solr oder Struts2. Auf dem Portal Hackernews wird außerdem berichtet, dass unter anderem auch Valves Steam oder Apples iCloud anfällig für die Lücke seien. Das gesamte Ausmaß der eventuell betroffenen Anwendungen und Online-Dienste ist derzeit noch nicht absehbar.

Auf Twitter gibt es inzwischen aber auch kleine und kurze Beispiele, die zeigen, wie die Lücke in Desktop-Anwendungen wie Ghidra ausgenutzt werden kann, wenn dort Dateien geladen werden. Es ist also davon auszugehen, dass eigentlich alle Anwendungen, die die Funktionen von Log4J samt JNDI für eigene Zwecke verwenden, verwundbar sein könnten.

Die Sicherheitslücke wird inzwischen mit der CVE-Nummer CVE-2021-44228 bezeichnet. Laut dem dazugehörigen Security-Eintrag der Entwickler sei das verwundbare Verhalten ab Version 2.15 deaktiviert. Diese steht zum Download bereit. Die Versionen 2.0 bis 2.14.1 seien jedoch theoretisch verwundbar. Gefunden worden ist die Lücke laut der Apache Foundation von Chen Zhaojun von Alibabas Cloud Security Team.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


masterx244 13. Dez 2021

Android verwendet eine komplett andere VM. Früher die Dalvik-VM, später die Android...

bofhl 13. Dez 2021

Es geht um den Text, der geloggt wird! Der wird durch ein so genanntes Lookup einer...

GL 12. Dez 2021

Also ich konnte die Lücke mit JDK 14 nachvollziehen. Es ist übrigens im Grunde auch kein...

marjot87 10. Dez 2021

Ist es meines Wissens nach schon.



Aktuell auf der Startseite von Golem.de
Streaming
Netflix droht bei unerlaubtem Kontensharing mit Sperrung

Abonnenten von Netflix müssen sich in Deutschland darauf einstellen, dass das Konto gesperrt wird, falls es unerlaubt mit anderen geteilt wird.

Streaming: Netflix droht bei unerlaubtem Kontensharing mit Sperrung
Artikel
  1. Militär: China gelingt Durchbruch bei Abwehr von Hyperschallraketen
    Militär
    China gelingt Durchbruch bei Abwehr von Hyperschallraketen

    Das Shanghai Institute of Mechanical and Electrical Engineering hat einen Durchbruch bei der Erforschung eines Abwehrsystems für Hyperschallwaffen erzielt.

  2. Ubisoft: In The Crew Motorfest sausen Rennspielfans über Hawaii
    Ubisoft
    In The Crew Motorfest sausen Rennspielfans über Hawaii

    Straßenrennen in Honolulu, im Regenwald und auf Bergstraßen: Ubisoft hat den dritten Teil der Rennspielserie The Crew vorgestellt.

  3. US-Sanktionen verschärft: Keine Ausnahmen mehr für Huawei
    US-Sanktionen verschärft
    Keine Ausnahmen mehr für Huawei

    Die US-Regierung erhöht den Druck auf Huawei: Die Exportbeschränkungen gegen das Unternehmen sollen konsequenter umgesetzt werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AMD CPU kaufen, SW Jedi Survivor gratis dazu • Philips LED TV 65" 120 Hz Ambilight 999€ • KF DDR4-3600 32GB 91,89€ • Asus Mainboard 279€ • Bosch Prof. bis -55% • PCGH Cyber Week • Acer Predator 32" WQHD 170Hz 529€ • Philips Hue bis -50% • Asus Gaming-Laptops bis -25% [Werbung]
    •  /