Werbung
Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) über seine Webseite bekannt gegeben hat, klafft eine massive Sicherheitslücke in der Java-Bibliothek Log4j. Besagte Schwachstelle wurde mit der Warnstufe "Rot" bewertet, was die höchste Warnstufe des BSI darstellt. Neben der einfachen Ausnutzung der Lücke ist auch die starke Verbreitung ausschlaggebend für die genannte Bewertung. Die Logging-Bibliothek Log4j wird von zahlreichen Programmen verwendet und muss hier jeweils separat gepatcht werden. Erste Schätzungen sprechen von einer Nutzung der Bibliothek in rund 95 % aller Java-Projekte.
Aus diesem Grund wird uns die Sicherheitslücke noch lange begleiten und als Einfallstor für zahlreiche Angriffe dienen. Besonders kritisch ist jedoch der Fakt, dass solch eine weit verbreitete Java-Bibliothek nur von zwei Entwicklern gepflegt wird, die nebenbei noch einer Vollzeitbeschäftigung nachgehen. Somit ist eine ausreichende Pflege erst gar nicht möglich. Ein ähnliches Bild zeigte sich bereits in der Vergangenheit beim Heartbleed-Bug von OpenSSL. Auch hier wurde eine umfassende Betreuung der Software nicht gewährleistet.
Datenschutzhinweis für Twitter
An dieser Stelle möchten wir Ihnen einen Twitter Feed zeigen. Ihre Daten zu schützen, liegt uns aber am Herzen: Twitter setzt durch das Einbinden des Applets Cookies auf ihrem Rechner, mit welchen sie eventuell getracked werden können. Wenn Sie dies zulassen möchten, klicken Sie einfach auf diesen Feed. Der Inhalt wird anschließend geladen und Ihnen angezeigt.Ihr Hardwareluxx-Team
Tweets ab jetzt direkt anzeigen
Insbesondere große kommerzielle Anbieter, die Log4j in ihren Produkten einsetzen, sollten daran interessiert sein, dass die Bibliothek ausreichend betreut werden kann. Die Heartbleed-Lücke sorgte zumindest dafür, dass die Core Infrastructure Initiative dem OpenSSL-Projekt genügend Kapital zur Verfügung gestellt hat, sodass man zwei Entwickler in Vollzeit einstellen konnte. Ob bei Log4j nun mit einer ähnlichen Finanzspritze zu rechnen ist bleibt zunächst abzuwarten. Allerdings sollte eine so weitreichende Sicherheitslücke in Zukunft unbedingt verhindert werden. Schließlich kommt die genannte Bibliothek bei vielerlei Software zum Einsatz.
Die Entwickler und Betreiber von Software im Netz werden über die kommenden Wochen und Monate damit beschäftigt sein ihre Systeme zu analysieren und gegebenenfalls anzupassen.