Google: OSS-Fuzz soll Log4j-Fehler in Open-Source-Software finden
[ad_1]
Googles Projekt “OSS-Fuzz” zum Testen von Open-Source-Software kann nun gleichfalls nachdem Fehlern aus jener Java-Bibliothek Log4j in Projekten suchen. Die Schwachstelle in jener weit verbreiteten Protokollierungsbibliothek zum Besten von Java-Anwendungen ist derzeit unversperrt und wird wahrscheinlich noch solange bis zum Patchen betroffener Systeme Existenz bleiben. Die vor irgendwas mehr wie einer Woche entdeckte Zero-Day-Lücke wird wie CVE 2021-44228 geführt und [Update 18.12.21, 13:30: soll mit der von der Apache Foundation veröffentlichten Log4j-Version 2.17.0 behoben worden sein. Version 2.16.0 begegnete dem Problem nur teilweise, schützte aber nicht vor unkontrollierter Rekursion durch selbstreferenzielle Lookups.]
C/o OSS-Fuzz handelt es sich um verknüpfen 2016 vorgestellten kostenlosen Tätigkeit zum Testen von Open-Source-Projekten mittels Fuzzing – eine Methode, c/o jener die zu testende Software mit gewahr oder zufällig fehlerhaften Eingabedaten gefüttert wird. Indem lassen sich notfalls durchrutschende Fehler wie Pufferüberläufe die Katze aus dem Sack lassen, die zu Abstürzen münden können. OSS-Fuzz wird derzeit von mehr wie 500 kritischen Open-Source-Projekten genutzt, wie Google in seinem Sicherheitsblog schreibt.
Integration von Jazzmusiker soll helfen
Im Rahmen einer im März angekündigten Partnerschaft mit dem deutschen, aufwärts Fuzz-Testing spezialisierten Unternehmen Quellcode Intelligence testet Google eine Integration von Jazzmusiker in OSS-Fuzz. Damit ist dies Fuzzing gleichfalls übrig JVM-Applikationen (Java Virtual Machine) aufwärts Schwachstellen möglich. Quellcode Intelligence hat in diesem Zusammenhang seine Jazzmusiker-Fuzzing-Engine verbessert, damit sie Remote-JNDI-Lookups wiedererkennen kann.
OSS-Fuzz und Jazzmusiker finden Log4Shell-Schwachstelle
(Grafik: Google)
“Schwachstellen wie Log4Shell sind zum Besten von die Industrie ein Augenöffner zum Besten von neue Angriffsmöglichkeiten. Mit OSS-Fuzz und Jazzmusiker können wir jetzt jene Typ von Schwachstellen nachschlagen, sodass sie behoben werden können, zuvor sie zu einem Problem im Produktionscode werden”, sagt Jonathan Metzman vom Google Open Source Security Team.
Im vergangenen Jahr hat Google nachdem eigenen Daten mehr wie zehn Milliarden Dollar in Cybersicherheitsmaßnahmen investiert und mit 100 Mio. Dollar Drittanbieter unterstützt, die sich mit jener Beseitigung von Schwachstellen befassen.
Apache-Entwickler listen in einer Sicherheitsmeldung zudem mögliche Schritte zur Sicherung jener Server aufwärts. Die vom Log4j bereitgestellten Informationen werden täglich aktualisiert, zuletzt am 17. Monat des Winterbeginns.
(mack)