Log4Shell wirkt sich bis zum Mars aus

Das Unternehmen Sonatype hat einen Bericht veröffentlicht, in dem es die Bedrohung der Zero-Day-Schwachstelle Log4Shell bewertet. Die kürzlich entdeckte Sicherheitslücke, die mit 10 von 10 Punkten als kritisch eingestuft wurde, betrifft das Open-Source-Java-Protokollierungsprogramm Log4j. Hier können Sie mehr darüber lesen.

Ein Stück Code auf dem Mars

Die Zahlen von Sonatype geben einen Eindruck von der enormen Popularität von Log4j. Allein in Maven Central wurde die Bibliothek in vier Monaten (zwischen Anfang August und Ende November 2021) 28,6 Millionen Mal heruntergeladen. Über alle Versionen hinweg gehört Log4j zu den beliebtesten Bibliotheken im Zusammenhang mit Java-Projekten. Das Dienstprogramm ist Teil von fast 7000 anderen Open-Source-Projekten. Es ist sogar in den Ingenuity-Hubschrauber eingebaut ist, der auf einer Mission zum Mars unterwegs ist. Auch in 783 andere Projekte wurde der Code kopiert und eingefügt und fand sich in mehr als 19'562 verschiedenen Komponenten wieder.

Viele Versionen sind noch installiert

Die Apache-Teams entwickelten in aller Eile ein Update der kompromittierten Bibliothek, die Version Log4j 2.15.0. Laut der Analyse von Sonatype wurde diese massiv oft installiert (mehr als 633'000 Downloads auf Maven Central innerhalb von drei Tagen). Zwei Drittel der installierten Bibliotheken sind jedoch nach wie vor verwundbare Versionen. Seit dieser Analyse wurde eine neue Version von Log4j veröffentlicht mit der Nummer 2.16.0. Laut den Erklärungen auf der Webseite der Apache-Teams war der mit Log4j 2.15.0 bereitgestellte Patch - ausser in den Standardkonfigurationen - tatsächlich unvollständig.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.