Log4Shell: Mehrheit der Java-Pakete hat noch kein Log4J-Update

Die Log4Shell-Lücke betrifft das Java-Ökosystem ungewöhnlich stark, analysiert Google. Unterdessen werden neue Log4J-Lücken bekannt.

Artikel veröffentlicht am ,
Die Log4J-Lücke könnte das Java-Ökosystem noch über Jahre begleiten, vermutet Google.
Die Log4J-Lücke könnte das Java-Ökosystem noch über Jahre begleiten, vermutet Google. (Bild: Robert Galbraith/Reuters)

Das Open Source Insights Team von Google hat sich die Auswirkungen der Log4Shell genannten Sicherheitslücke im Java-Werkzeug Log4J auf das gesamte Java-Ökosystem angesehen. Demnach betrifft die Lücke deutlich mehr Pakete in dem Maven Central Repository als andere Java-Sicherheitslücken und ein sehr großer Teil dieser Pakete hat offenbar noch kein Update erhalten.

Betroffen sind laut der Auswertung mit rund 35.000 Java-Paketen etwa 8 Prozent der Maven-Central-Pakete. Google bezeichnet das als "enorm". Denn im Durchschnitt beträfen einzelne Lücken nur zwei Prozent der Pakete in Maven Central und der Median von betroffenen Paketen liege gar bei weniger als 0,1 Prozent.

Google weist zusätzlich dazu aber auch noch darauf hin, dass zahlreiche weitere Java-Pakete und -Abhängigkeiten, die nicht über Maven Central verwaltet werden, sowie Java-Anwendungen von ihren jeweiligen Herstellern möglicherweise direkt verteilt werden. Der Blick auf Maven Central bietet aber eine gute Annäherung an das gesamte Java-Ökosystem.

Transitive Abhängigkeiten machen Probleme

Als direkte Abhängigkeiten betroffen sind von der Lücke rund 7.000 Pakete. Durch transitive Abhängigkeiten werden daraus dann die erwähnten insgesamt 35.000 Pakete. Und davon seien laut Google immer noch mehr als 30.000 Pakete nicht aktualisiert, unter anderem auch, weil diese wiederum auf ein Update einer ihrer transitiven Abhängigkeiten warteten.

Aussagen dazu, wie lang das Beheben der Lücke in all diesen Paketen dauern wird, sind zwar kaum realistisch abzugeben. Das Team von Google verweist jedoch darauf, dass es für rund die Hälfte der Pakete in Maven Central, die von einer bekannten Sicherheitslücke betroffen sind, immer noch keine Updates gibt. Bezogen auf Log4J heißt es dann: "Wir dürften uns auf eine lange Wartezeit einstellen, wahrscheinlich Jahre."

Neue Lücken in Log4J

Das Log4J-Team hat darüber hinaus mit Version 2.17 erneut ein Update für eine Sicherheitslücke (CVE-2021-45105) bereitgestellt, die das sogenannte Lookup-Feature betrifft. Unter bestimmten Umständen könnten Angreifer damit einen Denial-of-Service-Angriff starten. Zusätzlich zu dem Update empfiehlt das Team auch weitere Maßnahmen, die ein Ausnutzen der Lücke verhindern sollen.

Außerdem berichtet das Magazin ZDnet von einem weiteren Angriffsvektor für die ursprüngliche Lücke in Log4J, die das Sicherheitsunternehmen Blumira entdeckt hat. Demnach lässt sie Log4Shell unter Umständen auch über Websockets angreifen. Dadurch seien eventuell auch Dienste angreifbar, die nicht direkt selbst mit dem Internet verbunden sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Switch-Joysticks austauschen
Mit dem Hall-Effekt gegen Joycon-Drifting

Seit es die Nintendo Switch gibt, kämpfen viele Nutzer mit driftenden Joycons. Wir haben neue Joysticks für eine hoffentlich dauerhafte Lösung eingebaut.
Eine Anleitung von Tobias Költzsch

Switch-Joysticks austauschen: Mit dem Hall-Effekt gegen Joycon-Drifting
Artikel
  1. Militär: China gelingt Durchbruch bei Abwehr von Hyperschallraketen
    Militär
    China gelingt Durchbruch bei Abwehr von Hyperschallraketen

    Das Shanghai Institute of Mechanical and Electrical Engineering hat einen Durchbruch bei der Erforschung eines Abwehrsystems für Hyperschallwaffen erzielt.

  2. Webanwendungen gegen Angriffe absichern
     
    Webanwendungen gegen Angriffe absichern

    Wie lassen sich typische Schwachstellen in Web-Applikationen erkennen und vermeiden? Der zweitägige Workshop der Golem Karrierewelt liefert Lösungen - und zahlreiche Praxisbeispiele!
    Sponsored Post von Golem Karrierewelt

  3. Windows: Berliner Verwaltung nutzt Server ohne Sicherheitsupdate
    Windows
    Berliner Verwaltung nutzt Server ohne Sicherheitsupdate

    Die Berliner Verwaltung nutzt Windows-Server, die keine Sicherheitsupdates mehr bekommen - obwohl ein Austausch schon länger geplant gewesen ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AMD CPU kaufen, SW Jedi Survivor gratis dazu • Philips LED TV 65" 120 Hz Ambilight 999€ • KF DDR4-3600 32GB 91,89€ • Asus Mainboard 279€ • Bosch Prof. bis -55% • PCGH Cyber Week • Acer Predator 32" WQHD 170Hz 529€ • Philips Hue bis -50% • Asus Gaming-Laptops bis -25% [Werbung]
    •  /