Log4Shell: Mehrheit der Java-Pakete hat noch kein Log4J-Update

Die Log4Shell-Lücke betrifft das Java-Ökosystem ungewöhnlich stark, analysiert Google. Unterdessen werden neue Log4J-Lücken bekannt.

Artikel veröffentlicht am ,
Die Log4J-Lücke könnte das Java-Ökosystem noch über Jahre begleiten, vermutet Google.
Die Log4J-Lücke könnte das Java-Ökosystem noch über Jahre begleiten, vermutet Google. (Bild: Robert Galbraith/Reuters)

Das Open Source Insights Team von Google hat sich die Auswirkungen der Log4Shell genannten Sicherheitslücke im Java-Werkzeug Log4J auf das gesamte Java-Ökosystem angesehen. Demnach betrifft die Lücke deutlich mehr Pakete in dem Maven Central Repository als andere Java-Sicherheitslücken und ein sehr großer Teil dieser Pakete hat offenbar noch kein Update erhalten.

Stellenmarkt
  1. Senior .net Entwickler (w/m/d) inhouse
    HanseVision GmbH, Hamburg
  2. Software Ingenieur*in (d/m/w) Equipment Integration
    OSRAM Opto Semiconductors Gesellschaft mit beschränkter Haftung, Regensburg
Detailsuche

Betroffen sind laut der Auswertung mit rund 35.000 Java-Paketen etwa 8 Prozent der Maven-Central-Pakete. Google bezeichnet das als "enorm". Denn im Durchschnitt beträfen einzelne Lücken nur zwei Prozent der Pakete in Maven Central und der Median von betroffenen Paketen liege gar bei weniger als 0,1 Prozent.

Google weist zusätzlich dazu aber auch noch darauf hin, dass zahlreiche weitere Java-Pakete und -Abhängigkeiten, die nicht über Maven Central verwaltet werden, sowie Java-Anwendungen von ihren jeweiligen Herstellern möglicherweise direkt verteilt werden. Der Blick auf Maven Central bietet aber eine gute Annäherung an das gesamte Java-Ökosystem.

Transitive Abhängigkeiten machen Probleme

Als direkte Abhängigkeiten betroffen sind von der Lücke rund 7.000 Pakete. Durch transitive Abhängigkeiten werden daraus dann die erwähnten insgesamt 35.000 Pakete. Und davon seien laut Google immer noch mehr als 30.000 Pakete nicht aktualisiert, unter anderem auch, weil diese wiederum auf ein Update einer ihrer transitiven Abhängigkeiten warteten.

Golem Akademie
  1. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    7.–8. Februar 2022, Virtuell
  2. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
Weitere IT-Trainings

Aussagen dazu, wie lang das Beheben der Lücke in all diesen Paketen dauern wird, sind zwar kaum realistisch abzugeben. Das Team von Google verweist jedoch darauf, dass es für rund die Hälfte der Pakete in Maven Central, die von einer bekannten Sicherheitslücke betroffen sind, immer noch keine Updates gibt. Bezogen auf Log4J heißt es dann: "Wir dürften uns auf eine lange Wartezeit einstellen, wahrscheinlich Jahre."

Neue Lücken in Log4J

Das Log4J-Team hat darüber hinaus mit Version 2.17 erneut ein Update für eine Sicherheitslücke (CVE-2021-45105) bereitgestellt, die das sogenannte Lookup-Feature betrifft. Unter bestimmten Umständen könnten Angreifer damit einen Denial-of-Service-Angriff starten. Zusätzlich zu dem Update empfiehlt das Team auch weitere Maßnahmen, die ein Ausnutzen der Lücke verhindern sollen.

Außerdem berichtet das Magazin ZDnet von einem weiteren Angriffsvektor für die ursprüngliche Lücke in Log4J, die das Sicherheitsunternehmen Blumira entdeckt hat. Demnach lässt sie Log4Shell unter Umständen auch über Websockets angreifen. Dadurch seien eventuell auch Dienste angreifbar, die nicht direkt selbst mit dem Internet verbunden sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Reddit
IT-Arbeiter automatisiert seinen Job angeblich vollständig

Ein anonymer Entwickler will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
Artikel
  1. Bundesservice Telekommunikation: Ist eine scheinexistente Behörde für Wikipedia relevant?
    Bundesservice Telekommunikation  
    Ist eine scheinexistente Behörde für Wikipedia relevant?

    Die IT-Sicherheitsexpertin Lilith Wittmann hat eine dubiose Bundesbehörde ohne Budget entdeckt. Reicht das für einen Wikipedia-Artikel?

  2. Deutsche Telekom: iPads für mehr als 400.000 Schüler in Rheinland-Pfalz
    Deutsche Telekom
    iPads für mehr als 400.000 Schüler in Rheinland-Pfalz

    Rheinland-Pfalz beschafft iPads für 1.660 Schulen. Die Ausschreibung hat die Deutsche Telekom gewonnen. Auch Notebooks gibt es.

  3. Bitcoin, Ethereum: Was steuerlich bei Kryptowährungen gilt
    Bitcoin, Ethereum
    Was steuerlich bei Kryptowährungen gilt

    Kryptowährungen wie Bitcoin sind unter Anlegern beliebt - doch wie muss man die Gewinne eigentlich versteuern?

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional zu Bestpreisen • WSV bei MediaMarkt • Asus Vivobook Flip 14" 8GB 512GB SSD 567€ • Philips OLED 65" Ambilight 1.699€ • RX 6900 16GB 1.489€ • Samsung QLED-TVs günstiger • Asus Gaming-Notebook 17“ R9 RTX3060 1.599€ • Seagate 20TB SATA HDD [Werbung]
    •  /