Zwei Jahre nach Log4Shell: Die Gefahr ist nicht gebannt – Was ist zu tun?

Zwei Jahre nach Log4Shell: Die Gefahr ist nicht gebannt – Was ist zu tun?

Vor rund zwei Jahren, am 9. Dezember 2021, wurde die Welt in höchste Alarmbereitschaft versetzt, weil eine der kritischsten Zero-Day-Schwachstellen aller Zeiten bekannt wurde: Log4Shell. Veracode hat die Schwachstelle seither beobachtet. Nachfolgend stellen wir Ihnen einen Kommentar zur Veröffentlichung zu Verfügung. Weitere Informationen finden Sie hier: State of Log4j Vulnerabilities: How Much Did Log4Shell Change? | Veracode

Vor zwei Jahren wurde eine der kritischsten Zero-Day-Schwachstellen aller Zeiten bekannt: Log4Shell. Die Schwachstelle mit dem höchstmöglichen Schweregrad (10.0) befand sich in Apache Log4j, einem allgegenwärtigen Open-Source Java-Protokollierungs-Framework. Nach Schätzungen von Veracode haben damals 88 Prozent der Unternehmen Apache Log4j eingesetzt.

Angreifer konnten die Schwachstelle (CVE-2021-44228) in den Log4j-Versionen Log4j2 2.0-beta9 bis 2.15.0 (mit Ausnahme der Sicherheitsversionen 2.12.2, 2.12.3 und 2.3.1) ausnutzen, um RCE-Angriffe (Remote Code Execution) durchzuführen. Schätzungsweise Hunderte von Millionen an betroffenen Systemen mussten gepatcht werden – ein riesiger Aufwand.

Zum zweijährigen Jubiläum hat Veracode den Stand der Log4Shell-Schwachstellen erneut untersucht, um zu sehen, ob es Fortschritte in der Open-Source-Software-Sicherheit gibt. Die Ergebnisse zeigen, dass das Risiko zur Ausnutzung der Schwachstelle deutlich reduziert wurde. Allerdings enthalten 38 Prozent der Anwendungen in Unternehmen immer noch anfällige Versionen von Log4j.

Dabei fehlt es selten an den Fähigkeiten, die Mängel zu korrigieren. Viele Unternehmen scheinen sich vielmehr nicht bewusst zu sein, welchen Open-Source-Risiken sie ausgesetzt sind und wie sie diese reduzieren können. Oft mangelt es an Informationen und/oder an Ressourcen. Log4j ist nur ein Beispiel dafür, welche Risiken sich in Open Source Code verbergen können. Deswegen benötigen Entwickler Sicherheits-Richtlinien und Tools, um Sicherheitslücken einfacher zu finden, zu bekämpfen und um ihre eigene Arbeitslast zu verringern.

Mit SCA (Software Composition Analysis) und Infrastructure as Code-Scanning können Verantwortliche zulässige Open-Source-Module festlegen, die Entwickler verwenden dürfen. Außerdem sind Richtlinien hilfreich, die Open-Source-Schwachstellen nach Schweregrad und/oder "Breaking the Build" verbieten. So dürfen Entwickler keine Änderungen einführen, die neue Schwachstellen (im eigenen oder fremden Code) mit sich bringen.

Auch wenn Organisationen Software kaufen, sollten sie immer wissen, was in ihr enthalten ist. Dafür sind SBOMs (Software Bill of Materials) für die installierte Software von Drittanbietern nützlich. So ist es möglich, Schwachstellen schnell zu erkennen und zu beheben, bevor ernsthafte Probleme entstehen.

Über Veracode

Veracode steht für intelligente Software-Sicherheit. Die Veracode Software Security-Plattform findet Mängel und Schwachstellen in jeder Phase des modernen Softwareentwicklungszyklus. Dank der leistungsstarken KI, die anhand von sorgfältig kuratierten, vertrauenswürdigen Datensätzen auf Basis der Analyse von Billionen von Codezeilen trainiert wurde, beheben Veracode-Kunden Fehler schneller und mit hoher Genauigkeit. Sicherheitsteams, Entwickler und Geschäftsführer von Tausenden der innovativsten Unternehmen der Welt vertrauen und schätzen Veracode und seine Pionierarbeit, die die Bedeutung intelligenter Softwaresicherheit immer wieder neu definiert.
Weitere Informationen finden Sie unter www.veracode.com, im Veracode Blog, auf LinkedIn und Twitter.

Urheberrecht © 2023 Veracode, Inc. Alle Rechte vorbehalten. Veracode ist ein eingetragenes Warenzeichen von Veracode, Inc. in den Vereinigten Staaten und kann in bestimmten anderen Gerichtsbarkeiten eingetragen sein. Alle anderen Produktnamen, Marken oder Logos sind Eigentum ihrer jeweiligen Inhaber. Alle anderen hier erwähnten Warenzeichen sind Eigentum ihrer jeweiligen Inhaber. 

Firmenkontakt und Herausgeber der Meldung:

Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com

Ansprechpartner:
Christine Wildgruber
Pressekontakt
Telefon: +49 (89) 419599-27
E-Mail: veracode@maisberger.com?
Benedikt Kübler 
Maisberger GmbH
Telefon: 49 (89) 419599-32 
E-Mail: veracode@maisberger.com?
Katy Gwilliam
Veracode
E-Mail: kgwilliam@veracode.com
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel

Comments are closed.

Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber.