Bei der weitverbreiteten Logging-Komponente log4j 2 ist am Freitag eine schwerwiegende Schwachstelle bekannt geworden, ein Zero-Day-Exploit. Das BSI hat am Wochenende die höchste Warnstufe rot dafür ausgerufen, da es vermehrt zu Angriffen kam.
Das log4j-Framework ist als Java-Bibliothek in viele Systeme integriert, insbesondere bei webbasierten Anwendungen, die dadurch angreifbar sein können.
Die Entwickler der Open Source Software haben umgehend einen Patch und Hinweise zur Abstellung der Schwachstelle veröffentlicht. Eine Anpassung der Systeme ist dringend geboten. An der TU wurden die zentralen Dienste bereits angepasst bzw. sind temporär nur eingeschränkt verfügbar.
Weitere Informationen
- heise.de – Schutz vor schwerwiegender Log4j-Lücke – was jetzt hilft und was nicht (Hinweis: die Webseite bindet Aktivitätenverfolgung und andere externe Inhalte ein)
- Offizielle Webseite der Apache-Foundation zum Logging-Framework Log4j 2
- News der TU/ZECM zum Exploit
Nachtrag vom 15. Dezember
Es ist wohl schlimmer als gedacht: Letztlich handelt es sich um ein grundsätzliches Problem der Spezifikation der Programmiersprache, da diese zur Laufzeit ein (Nach)laden von Variablen und ihren Werten aus externen Quellen erlaubt. Daher sind solche problematische Schwachstellen auch schwer im Code zu erkennen. Überdiese Art von Schnittstellen verfügt nicht nur Java, es ist ein gängiges Konzept. Leider kein Sicherheitskonzept. Zumindest bleibt zu hoffen, dass die log4j-Schwachstelle ein Umdenken anregt.
- heise.de – Kommentar zu Log4j: Es funktioniert wie spezifiziert (Hinweis: die Webseite bindet Aktivitätenverfolgung und andere externe Inhalte ein)