Log4j-Schwachstelle wird uns noch mindestens ein Jahrzehnt lang begleiten
Die Log4j-Schwachstelle in der Open-Source-Bibliothek Log4j hat ein “endemisches” Ausmaß erreicht und das Nachbeben könnte noch “ein Jahrzehnt oder länger” andauern, so ein bahnbrechender Bericht der US-Regierung.
Die Sicherheitslücke in Log4Shell, die im Dezember 2021 auftauchte, bietet eine starke Kombination einer kritischen und enormen Angriffsfläche, da Log4j als Java-basierte Protokoll-Lösung für unzählige Anwendungen nahezu allgegenwärtig ist.
Im Cyber Safety Review Board CSRB-Bericht, der am 14. Juli 2022 veröffentlicht wurde, heißt es: “Anfällige Instanzen der Log4j-Schwachstelle werden noch viele Jahre lang in Systemen vorhanden sein, vielleicht ein Jahrzehnt oder länger. Es besteht weiterhin ein erhebliches Risiko”.
Die Apache Software Foundation, die Log4j verwaltet, wurde für ihren “gut etablierten Softwareentwicklungszyklus” gelobt und dafür, dass sie das kritische Problems erkannt hat und schnell Patches herausgegeben hat.
Der Bericht lobte auch die rasche Erstellung von effektiven Anleitungen, Tools und Informationen über Bedrohungen durch Anbieter und Regierungen.
Weiter unten in der Lieferkette hatten die Unternehmen jedoch immer noch Schwierigkeiten, auf das Ereignis zu reagieren, und die harte Arbeit, anfällige Software zu aktualisieren, ist in vielen Unternehmen noch lange nicht abgeschlossen.
Experten warnen unterdessen davor, sich auf einen kommerziellen Anbieter zu verlassen, wenn es darum geht, die Verbraucher vor einem Problem zu warnen, denn das setze voraus, dass der Anbieter seine Nutzung von Open Source ordnungsgemäß verwaltet und in der Lage ist, alle Benutzer der betroffenen Software zu identifizieren und zu warnen – selbst wenn der Support für diese Software eingestellt wurde.
Vor diesem Hintergrund sollten Unternehmen ein die Sicherheit grundsätzlich hinterfragen, um zu überprüfen, ob die Software, die sie erhalten, keine ungepatchten Sicherheitslücken enthält.
Gerne zeigen wir in einem persönlichen Beratungsgespräch auf, wie sich Unternehmen gegen die Log4j-Schwachstelle noch besser schützen können. >>Zum kostenlosen Beratungsgespräch<<