Java: Kritische Sicherheitslücke bedroht Minecraft, Steam & iCloud

In der Java-Bibliothek Log4j wurde eine schwerwiegende Schwachstelle gefunden. Die Lücke kann von Angreifern genutzt werden, um beliebigen Code auf einem System auszuführen. Von der Sicherheitslücke sind auch bekannte Dienste wie Minecraft, Steam und die iCloud betroffen. Die Schwachstelle gibt Hackern die Möglichkeit, manipulierte Anfragen an verwundbare Web-Server oder Anwendungen zu senden. Damit der Angriff funktioniert, muss das jeweilige System nur einen String entgegennehmen und die Anfrage mit Log4j aufzeichnen. Durch das Ausführen von beliebigem Code kann ein Server dann vollständig übernommen werden.

Schwachstelle gefährdet zahlreiche Dienste

Das Problem betrifft nicht nur Services, die in Java geschrieben wurden. Auch Web-Anwendungen, die mit Hilfe einer anderen Programmiersprache umgesetzt wurden, können betroffen sein, sofern bestimmte Bibliotheken und Java-Dependencies zum Einsatz kommen. Der Auflistung eines Entwicklers zufolge sind auch bekannte Dienste wie die Apple iCloud, Steam, Twitter, viele Amazon-Services, Minecraft, CloudFlare und Apache-Plattformen gefährdet.

Da es sich bei Log4j um eine sehr beliebte Logging-Bibliothek handelt, dürfte die Schwachstelle in den meisten Java-Projekten existieren. Von der Lücke sind die Log4j-Versionen 2.0-beta9 bis 2.14.1 betroffen. Um zu testen, ob das eigene Projekt anfällig ist, können Entwickler auf dieses Skript zurückgreifen.

Die Schwachstelle wird unter der Bezeichnung CVE-2021-44228 geführt und konnte inzwischen behoben werden. Die Entwickler haben an einem Patch gearbeitet und den Code mit der Version 2.15 in die Logging-Bibliothek integriert. Wer noch keine Möglichkeit hat, das Update in sein Projekt einzubauen, sollte die JNDI-Funktion von Log4j temporär deaktivieren.

Weitere News zu Java: