Log4Shell: Mehrheit der Java-Pakete hat noch kein Log4J-Update
Die Log4Shell-Lücke betrifft das Java-Ökosystem ungewöhnlich stark, analysiert Google. Unterdessen werden neue Log4J-Lücken bekannt.

Das Open Source Insights Team von Google hat sich die Auswirkungen der Log4Shell genannten Sicherheitslücke im Java-Werkzeug Log4J auf das gesamte Java-Ökosystem angesehen. Demnach betrifft die Lücke deutlich mehr Pakete in dem Maven Central Repository als andere Java-Sicherheitslücken und ein sehr großer Teil dieser Pakete hat offenbar noch kein Update erhalten.
Betroffen sind laut der Auswertung mit rund 35.000 Java-Paketen etwa 8 Prozent der Maven-Central-Pakete. Google bezeichnet das als "enorm". Denn im Durchschnitt beträfen einzelne Lücken nur zwei Prozent der Pakete in Maven Central und der Median von betroffenen Paketen liege gar bei weniger als 0,1 Prozent.
Google weist zusätzlich dazu aber auch noch darauf hin, dass zahlreiche weitere Java-Pakete und -Abhängigkeiten, die nicht über Maven Central verwaltet werden, sowie Java-Anwendungen von ihren jeweiligen Herstellern möglicherweise direkt verteilt werden. Der Blick auf Maven Central bietet aber eine gute Annäherung an das gesamte Java-Ökosystem.
Transitive Abhängigkeiten machen Probleme
Als direkte Abhängigkeiten betroffen sind von der Lücke rund 7.000 Pakete. Durch transitive Abhängigkeiten werden daraus dann die erwähnten insgesamt 35.000 Pakete. Und davon seien laut Google immer noch mehr als 30.000 Pakete nicht aktualisiert, unter anderem auch, weil diese wiederum auf ein Update einer ihrer transitiven Abhängigkeiten warteten.
Aussagen dazu, wie lang das Beheben der Lücke in all diesen Paketen dauern wird, sind zwar kaum realistisch abzugeben. Das Team von Google verweist jedoch darauf, dass es für rund die Hälfte der Pakete in Maven Central, die von einer bekannten Sicherheitslücke betroffen sind, immer noch keine Updates gibt. Bezogen auf Log4J heißt es dann: "Wir dürften uns auf eine lange Wartezeit einstellen, wahrscheinlich Jahre."
Neue Lücken in Log4J
Das Log4J-Team hat darüber hinaus mit Version 2.17 erneut ein Update für eine Sicherheitslücke (CVE-2021-45105) bereitgestellt, die das sogenannte Lookup-Feature betrifft. Unter bestimmten Umständen könnten Angreifer damit einen Denial-of-Service-Angriff starten. Zusätzlich zu dem Update empfiehlt das Team auch weitere Maßnahmen, die ein Ausnutzen der Lücke verhindern sollen.
Außerdem berichtet das Magazin ZDnet von einem weiteren Angriffsvektor für die ursprüngliche Lücke in Log4J, die das Sicherheitsunternehmen Blumira entdeckt hat. Demnach lässt sie Log4Shell unter Umständen auch über Websockets angreifen. Dadurch seien eventuell auch Dienste angreifbar, die nicht direkt selbst mit dem Internet verbunden sind.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed