Anzeige
Anzeige
News
Artikel merken

Minecraft, Apple, Steam: Schwere Sicherheitslücke in Logging-Library gefährdet zahlreiche Dienste

Die extrem verbreitete Java-Logging-Library Log4j hat eine schwerwiegende Sicherheitslücke. Der Exploit-Code ist öffentlich. Gefährdet sind zahllose Websites, darunter Minecraft, Apple, Steam und Amazon.

2 Min. Lesezeit
Anzeige
Anzeige

Betroffen sind neben Minecraft-Servern offenbar auch Apple iCloud und viele andere Dienste. (Screenshot: t3n.de)

Hacker:innen haben eine schwerwiegende Sicherheitslücke in der Java-Logging-Library Log4j entdeckt und den zugehörigen Exploit-Code auf GitHub veröffentlicht. Die Bibliothek kommt in zahllosen Web-Anwendungen zum Einsatz, Schätzungen zufolge wird Log4j in 95 Prozent aller Java-Projekte verwendet. Die Schwachstelle auszunutzen, ist offenbar nicht besonders schwierig.

Anzeige
Anzeige

Zuerst berichtet wurde von der Schwachstelle in Websites, die sich an Minecraft-Spieler:innen richten. Die Websites warnten vor Hacker:innen, die potenziell Schadcode auf Servern oder Clients mit der Java-Version des Spiels ausführen könnten. Ausnutzen könnten Hacker:innen die Lücke, indem sie die Kontrolle über Log-Nachrichten erlangten. Ausreichend hierfür seien geloggte Chat-Nachrichten.

Laut den Security-Expert:innen von Luna-Sec müssen für einen erfolgreichen Exploit der Lücke neben einem Server mit einer anfälligen Version der Logging-Library nur zwei Bedingungen erfüllt sein: ein Endpunkt mit einem beliebigen Protokoll (etwa HTTP oder TCP), das es Angreifenden ermöglicht, den Exploit-String zu senden, und eine Protokollanweisung, die die Zeichenkette aus dieser Anfrage protokolliert. Durch die Protokollanweisung wird via Java-API JNDI und das Netzwerkprotokoll LDAP auf eine Serverinstanz mit weiterem Schadcode verwiesen. Möglich sind die Angriffe offenbar, weil dabei nicht geprüft wird, ob es sich bei dem aufgerufenen Server um einen eigenen oder um einen unter fremder Kontrolle handelt.

Anzeige
Anzeige

Wer ist betroffen?

Aufgrund der weiten Verbreitung der Logging-Bibliothek ist es sehr wahrscheinlich, dass die Mehrheit der Java- und Kotlin-Projekte betroffen ist. Im Social-News-Forum Hacker News berichten Nutzer:innen, dass auch Dienste wie Steam oder Apple iCloud anfällig für die Lücke sein könnten. Das Ausmaß betroffener Dienste ist derzeit noch nicht absehbar, potenziell aber sehr groß, da Log4j als Quasi-Standard unter den Logging-Libraries gilt.

Anzeige
Anzeige

Auch wer kein Java verwendet, könnte betroffen sein

Es besteht zudem die Möglichkeit, dass auch Web-Anwendungen, die nicht in Java geschrieben sind, dafür aber fertige Java-Dependencies haben, betroffen sein könnten.

HD Moore, Gründer und CTO der Netzwerkerkennungsplattform Rumble, sagte gegenüber Ars Technica, dass die Lücke gerade für Umgebungen, die an ältere Java-Laufzeiten gebunden sind, eine Rolle spiele: Betroffen seien Web-Frontends für verschiedene Netzwerkanwendungen, ältere Anwendungsumgebungen, die Legacy-API verwenden, und Minecraft-Server, die aus Gründen der Mod-Kompatibilität auf ältere Versionen angewiesen seien.

Anzeige
Anzeige

Mittlerweile gibt es einen CVE

Inzwischen gibt es einen CVE-Report dazu, geführt wird die Schwachstelle unter der Nummer CVE-2021-44228. Laut dem CVE-Eintrag wurde sie in Version 2.15 mittlerweile behoben. Als kurzfristigen Fix gibt es zudem die Empfehlung, die JNDI-Funktionalität in Log4 auszuschalten. Eine weitere Möglichkeit ist es, log4j2.formatMsgNoLookups = true zu setzen. Diese Lösung funktioniert allerdings erst ab V 2.10.0 und höher. In der neu veröffentlichten Version 2.15 ist dieses Verhalten ohnehin der Default. Wer eine Version älter > 2.10 verwendet und ein Upgrade auf 2.15 nicht infrage kommt, findet via Luna-Sec-Blogpost einen passenden Fix. Testen ob die eigene Anwendung betroffen ist, können Entwickler:innen beispielsweise mithilfe dieses Python-Skripts.

Entdeckt wurde die Schwachstelle von Chen Zhaojun, einem IT-Sicherheitsexperten aus dem Security-Team Alibabas.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Schreib den ersten Kommentar!
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige