Log4Shell: Mehrheit der Java-Pakete hat noch kein Log4J-Update

Die Log4Shell-Lücke betrifft das Java-Ökosystem ungewöhnlich stark, analysiert Google. Unterdessen werden neue Log4J-Lücken bekannt.

Artikel veröffentlicht am ,
Die Log4J-Lücke könnte das Java-Ökosystem noch über Jahre begleiten, vermutet Google.
Die Log4J-Lücke könnte das Java-Ökosystem noch über Jahre begleiten, vermutet Google. (Bild: Robert Galbraith/Reuters)

Das Open Source Insights Team von Google hat sich die Auswirkungen der Log4Shell genannten Sicherheitslücke im Java-Werkzeug Log4J auf das gesamte Java-Ökosystem angesehen. Demnach betrifft die Lücke deutlich mehr Pakete in dem Maven Central Repository als andere Java-Sicherheitslücken und ein sehr großer Teil dieser Pakete hat offenbar noch kein Update erhalten.

Stellenmarkt
  1. IT Project Manager (m/w/d) Business Applications
    SICK AG, Waldkirch
  2. Java Softwareentwickler (m/w/d)
    Brückner Maschinenbau GmbH & Co. KG, Siegsdorf
Detailsuche

Betroffen sind laut der Auswertung mit rund 35.000 Java-Paketen etwa 8 Prozent der Maven-Central-Pakete. Google bezeichnet das als "enorm". Denn im Durchschnitt beträfen einzelne Lücken nur zwei Prozent der Pakete in Maven Central und der Median von betroffenen Paketen liege gar bei weniger als 0,1 Prozent.

Google weist zusätzlich dazu aber auch noch darauf hin, dass zahlreiche weitere Java-Pakete und -Abhängigkeiten, die nicht über Maven Central verwaltet werden, sowie Java-Anwendungen von ihren jeweiligen Herstellern möglicherweise direkt verteilt werden. Der Blick auf Maven Central bietet aber eine gute Annäherung an das gesamte Java-Ökosystem.

Transitive Abhängigkeiten machen Probleme

Als direkte Abhängigkeiten betroffen sind von der Lücke rund 7.000 Pakete. Durch transitive Abhängigkeiten werden daraus dann die erwähnten insgesamt 35.000 Pakete. Und davon seien laut Google immer noch mehr als 30.000 Pakete nicht aktualisiert, unter anderem auch, weil diese wiederum auf ein Update einer ihrer transitiven Abhängigkeiten warteten.

Golem Akademie
  1. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
  2. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    14.–18. Februar 2022, virtuell
Weitere IT-Trainings

Aussagen dazu, wie lang das Beheben der Lücke in all diesen Paketen dauern wird, sind zwar kaum realistisch abzugeben. Das Team von Google verweist jedoch darauf, dass es für rund die Hälfte der Pakete in Maven Central, die von einer bekannten Sicherheitslücke betroffen sind, immer noch keine Updates gibt. Bezogen auf Log4J heißt es dann: "Wir dürften uns auf eine lange Wartezeit einstellen, wahrscheinlich Jahre."

Neue Lücken in Log4J

Das Log4J-Team hat darüber hinaus mit Version 2.17 erneut ein Update für eine Sicherheitslücke (CVE-2021-45105) bereitgestellt, die das sogenannte Lookup-Feature betrifft. Unter bestimmten Umständen könnten Angreifer damit einen Denial-of-Service-Angriff starten. Zusätzlich zu dem Update empfiehlt das Team auch weitere Maßnahmen, die ein Ausnutzen der Lücke verhindern sollen.

Außerdem berichtet das Magazin ZDnet von einem weiteren Angriffsvektor für die ursprüngliche Lücke in Log4J, die das Sicherheitsunternehmen Blumira entdeckt hat. Demnach lässt sie Log4Shell unter Umständen auch über Websockets angreifen. Dadurch seien eventuell auch Dienste angreifbar, die nicht direkt selbst mit dem Internet verbunden sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Microsoft
Alle Teams-Nutzer können nun miteinander schreiben

Private Teams-Nutzer und Mitglieder von Organisationen konnten bisher nicht über Teams kommunizieren. Das ändert Microsoft nun.

Microsoft: Alle Teams-Nutzer können nun miteinander schreiben
Artikel
  1. EU-Kommission: Von der Leyens intransparenter Umgang mit SMS
    EU-Kommission
    Von der Leyens intransparenter Umgang mit SMS

    Per SMS soll von der Leyen einen Milliardendeal mit Pfizer ausgehandelt haben. Doch die SMS will sie nicht herausgeben - obwohl sie müsste.

  2. Framework Laptop im Hardware-Test: Schrauber aller Länder, vereinigt euch!
    Framework Laptop im Hardware-Test
    Schrauber aller Länder, vereinigt euch!

    Der modulare Framework Laptop ist ein wahrgewordener Basteltraum. Und unsere Begeisterung für das, was damit alles möglich ist, lässt sich nur schwer bändigen.
    Ein Test von Oliver Nickel und Sebastian Grüner

  3. 5.000 Dollar Belohnung: Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen
    5.000 Dollar Belohnung
    Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen

    Tesla-Chef Elon Musk bot einem US-Teenager jüngst angeblich 5.000 US-Dollar, damit der seinen auf Twitter betriebenen Flight-Tracker einstellt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (u.a. HP Omen 25i 165 Hz 184,90€) • MindStar (u.a. Patriot Viper VPN100 1 TB 99€) • HyperX Streamer Starter Set 67€ • WD BLACK P10 Game Drive 5 TB 111€ • Trust GXT 38 35,99€ • RTX 3080 12GB 1.499€ • PS5 Digital mit o2-Vertrag bestellbar • Prime-Filme für je 0,99€ leihen [Werbung]
    •  /