1. #1
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.080
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard

    Nachdem die schwere Sicherheitslücke Log4Shell vor einigen Tagen bekannt wurde, hat man in der beliebten Bibliothek Log4j zwei weitere Lücken entdeckt. Als Reaktion wurde ein weiteres Update auf Version 2.16 vorgestellt, welches auch die neueste Schwachstelle behebt. In diesem Beitrag habe ich mir angeschaut, was das für zwei Lücken sind und ordne sie hinsichtlich der Gefährdung ein.

    Zur Textversion im Portal: Zwei weitere Sicherheitslücke in log4j: Was ihr zu Version 2.16 und 1.2 wissen müsst (Update 1).


  2. The Following User Says Thank You to DMW007 For This Useful Post:

    Hase (17.12.2021)

  3. #2
    Avatar von Hase
    Registriert seit
    23.08.2018
    Beiträge
    570
    Thanked 169 Times in 115 Posts

    Standard

    Ohjee die Sicherheitslücke wird uns noch länger beschäftigen. Oder?

  4. #3
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.080
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard

    Ja, das wird es. Sowohl Java als auch die Bibliothek Log4j sind sehr verbreitet. Selbst die Entwickler werden sich dem nicht immer bewusst sein. Wenn sie beispielsweise ein Paket verwenden, dass Log4j nutzt, haben sie es in ihrer Software, obwohl sie Log4j nicht explizit installiert haben. Das ist die Problematik mit den Abhängigkeiten, die ich unter NPM bereits an anderer Stelle kritisiert habe. In Java gibt es die auch, wenngleich sie in der NodeJS-Welt noch ausgeprägter zu sein scheint.

    Dazu kommt, dass Angreifer diese Lücke nicht unbedingt sofort ausnutzen. Sondern sich Hintertüren platzieren. Der Angriff folgt erst Wochen oder Monate später. Und es kommt die Zeit der Feiertage. Den US-Behörden hat man mittlerweile eine Frist bis Weihnachten gesetzt, damit es über die Feiertage zu keinen bösen Überraschungen kommt. Das ist für Angreifer natürlich lukrativ, weil in diesem Zeitraum viele Unternehmen nur gering besetzt sind, wenn überhaupt.

Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.