Die Log4Shell-Schwachstelle von Log4j: Ein Jahr später lauert sie immer noch

Apache musste sich Entstehen zwölfter Monat des Jahres 2021 rappeln, um griffbereit zu sein, Patches zu Händen Log4Shell zu veröffentlichen, qua es die Situation am 9. zwölfter Monat des Jahres letzten Jahres publik veröffentlicht gab. Infolgedessen fanden die Forscher schnell Grenzfälle und Problemumgehungen zu Händen die Patches, und Apache war gezwungen, mehrere Iterationen zu veröffentlichen, welches die Verwirrung noch verstärkte.

„Dieses Dingens war überall, wirklich überall“, sagt Jonathan Leitschuh, ein Open-Source-Sicherheitsforscher. „Angreifer sprangen darauf, die Sicherheitsgemeinschaft sprang darauf, überall flogen Nutzlasten.“

Forscher sagen jedoch, dass die Reaktion von Apache insgesamt solide war. Nalley fügt hinzu, dass Apache qua Reaktion uff die Log4Shell-Saga Änderungen und Verbesserungen vorgenommen und engagierte Mitwirkender eingestellt hat, um die Sicherheitsunterstützung zu erweitern, die es Open-Source-Projekten zur Verfügung stellen kann, um Fehler zu wiedererkennen, vorher sie im Kennung ausgeliefert werden, und im Kontext Sehnsucht uff Vorfälle zu reagieren.

„In kurzer Zeit, zwei Wochen, hatten wir Fixes, welches großartig ist“, sagt Nalley. „In gewisser Weise ist dies keine neue Situation zu Händen uns, und ich würde gerne sagen, dass wir perfekt damit umgegangen sind. Allerdings die Wirklichkeit ist, selbst im Kontext dieser Apache Software Foundation, dass dies merklich gemacht hat, welche Verantwortung wir im Gegensatz zu allen nach sich ziehen, die unsrige Software nutzen.“

Umso besorgniserregender ist zu Händen die Zukunft, dass selbst ein Jahr später etwa ein Viertel oder mehr dieser Log4j-Downloads aus dem Apache-Repository Maven Central und anderen Repository-Servern immer noch voller verwundbarer Versionen von Log4j sind. Mit anderen Worten, Softwareentwickler warten immer noch rege Systeme, uff denen anfällige Versionen des Dienstprogramms umgesetzt werden, oder prosperieren sogar neue Software, die instabil ist.

„Die Wirklichkeit sieht so aus, dass die meisten Menschen, die sich zu Händen eine anfällige Open-Source-Softwarekomponente entscheiden, schon zusammenführen Prompt verfügbar nach sich ziehen“, sagt Brian Fox, Mitbegründer und Chief Technology Officer des Software-Lieferkettenunternehmens Sonatype, dasjenige Maven betreibt Central und ist selbst ein Drittanbieter von Apache-Repositorys.“ „Selbst bin schon lange Zeit derbei, und ich bin abgestumpft, jedoch dasjenige ist wirklich schockierend, und die einzige Hinweistext hierfür ist, dass die Personen wirklich nicht verstehen, welches in ihrer Software steckt .“

Fox sagt, dass nachdem dem anfänglichen Gerangel, Log4Shell zu in Angriff nehmen, die Versionsdownloads in Maven Central und anderen Repositories uff ein Schrank gestoßen sind, in dem etwa 60 v. H. dieser Downloads gepatchte Versionen und 40 v. H. immer noch verwundbare Versionen waren. In den letzten drei Monaten sagten Nalley von Fox und Apache, dass sie zum ersten Mal zusammenführen Rückgang dieser Zahlen uff etwa 75/25 v. H. gesehen nach sich ziehen. Wie Fox es jedoch ausdrückt: „Nachdem einem Jahr ist ein Viertel dieser Downloads immer noch ziemlich schrecklich.“

„Wenige Personen Vertrauen schenken, dass Log4j ein großes Wach werden zu Händen die Industriebranche war, ein kollektives Ausrasten und Erwachen“, sagt er. „Und es hat uns geholfen, die Botschaft oben die Sicherheit dieser Software-Supply-Chain wirklich zu erweitern, weil die Personen nicht mehr leugnen. Dies, worüber wir nicht mehr da sprachen, war jetzt real, wir lebten es nicht mehr da. Allerdings solo dieser Gruppenzwang von Log4j hätte jeden zum Upgrade zwingen sollen. Wenn wir aus diesem Grund dieses nicht zu 100 v. H. bekommen, welches ist dann mit all den anderen?“

Zum Besten von Sicherheitsforscher ist die Frage, wie man den langen Schwanz einer Schwachstelle angesprochen, immer präsent. Und dasjenige Problem betrifft nicht nur Open-Source-Software, sondern selbst proprietäre Systeme. Denken Sie nur daran, wie viele Jahre es gedauert hat, die letzten 10 v. H. dieser Windows-Benutzer von XP abzulösen.

„Im Kontext diesen Worst-Case-Szenarien – Black-Swan-Events in Open Source – weiß man trivial, dass sie weiter vorbeigehen werden, weil die Netzwerk viel besser reagieren kann, jedoch dasjenige Zeitmaß dieser Open-Source-Erschaffung ist noch schneller.“ Lorenc von ChainGuard sagt. „Wir sollen aus diesem Grund dasjenige Gleichgewicht zwischen Prävention und Minderung finden und uns immer wieder bemühen, die 7-Sep so weit wie möglich zu reduzieren. Es ist wie Die Simpsons Meme, wenn Gesichtsfotze sagt: “Dies ist dieser schlimmste Tag meines Lebens.” Und Homer sagt nein: „Jener schlimmste Tag deines Lebens solange bis jetzt.’“