Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
Alert!

Lagebild: Gefahr durch kritische Log4Shell-Lücke ungebrochen

Sicherheitsforscher stoßen auf zahlreiche Dienste, die noch ungepatchte Log4j-Bibliotheken einsetzen. Rund 40 Prozent der Downloads sind verwundbare Versionen.

In Pocket speichern vorlesen Druckansicht 109 Kommentare lesen

(Bild: Tatiana Popova/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von

Die Gefahr durch die "kritische" Sicherheitslücke in der Java-Logging-Bibliothek Log4j ist nach wie vor allgegenwärtig, auch wenn es bereits seit Ende 2021 Patches gibt. Das Problem ist, dass die Bibliothek in unzähliger Software zum Einsatz kommt, was das Patchen erschwert. Sicherheitsforscher von Rezilion machen nun eine Bestandsaufnahme. Die Ergebnisse sollten Admins alarmieren. Die Schwachstelle wird uns noch längere Zeit beschäftigen.

Angreifer können die Lücke (CVE-2021-44228) vergleichsweise einfach ausnutzen, indem sie bestimmte Anfragen an verwundbare Systeme stellen. Ist die Attacke erfolgreich, können sie Schadcode ausführen und Server vollständig kompromittieren. Kurz nach dem die Lücke im Dezember 2021 publik wurde, setzten Angreifer an der Schwachstelle an und infizierten Computer mit Ransomware.

Lesen Sie auch

"Sind Sie noch verwundbar?"

In ihrem Bericht "Log4Shell 4 Months Later: Are You Still Vulnerable?" führt Rezilion unter anderem aus, dass von 17.840 Open-Source-Paketen, die Log4j nutzen, nur 40 Prozent eine abgesicherte Version der Bibliothek einsetzen. Bei ihrer Suche stießen sie zudem auf 90.000 Open-Source-Container, die angreifbar sind. Als Beispiel nennen sie Apache Solr. Etwa Apache Storm soll erst im April 2022 gepatcht worden sein.

Den Log4j-Download-Statistiken von Sonatype zufolge gehen seit Bekanntwerden der Schwachstelle 40 Prozent der Downloads auf verwundbare Versionen der Bibliothek zurück. Derzeit steht der Wert für die vergangenen 24 Stunden immer noch bei 36 Prozent.

Lesen Sie auch

Jetzt patchen!

Admins und Softwareentwickler sollten also dringend prüfen, dass sie gegen Log4Shell abgesicherte Versionen einsetzen. Damit man nicht völlig den Überblick verliert, wo die Bibliothek überall zum Einsatz kommt, pflegt ein Sicherheitsforscher eine inoffizielle Liste.

Gegen Log4Shell abgesicherte Log4j-Versionen:

  • Für Java 6: 2.3.2
  • Für Java 7: 2.12.4
  • Für Java 8: 2.17.1

Lesen Sie auch

(des)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten