Verwundbarkeit installierter Bibliotheken prüfen

Durchleuchtet

Nicht erst Log4j hat der Welt vor Augen geführt, wie schnell Verwundbarkeiten in Abhängigkeiten zu großen Sicherheitslücken führen können. Veraltete Bibliotheken eingesetzter Software sollten bestenfalls automatisch und kontinuierlich überprüft werden. Der Security-Tipp in diesem Monat zeigt Ihnen die Theorie hinter der Prüfung und mit Trivy ein simples Werkzeug für diesen Zweck.
Seit mehr als zwei Jahren arbeiten viele Teams in Unternehmen gezwungenermaßen remote miteinander. Und die Pandemie wird die Art zu arbeiten auch nach ihrem ... (mehr)

Die Schwachstelle in der Java-Bibliothek Log4j hat Ende des letzten Jahres für großes Aufsehen gesorgt. Was auch zur Konfusion in den ersten Tagen beigetragen hat, war die Tatsache, dass so gut wie niemand Log4j explizit installiert hat. In den meisten Fällen war Log4j nämlich eine Abhängigkeit und wurde bei der Installation eines größeren Softwareprodukts einfach mit aufgespielt. Kaum ein Administrator hat neben all der Software, die täglich installiert und verwaltet wird, noch eine Übersicht über die von dieser Software genutzten Bibliotheken. Das war auch bei Log4j der Fall. Die Konfiguration des Loggers hatte großen Einfluss auf die Möglichkeit für Kriminelle, die Schwachstelle auszunutzen – konfiguriert war sie aber meist schon von den Entwicklern der eigentlichen Software.

Der Siegeszug von Microservices nimmt derweil kein Ende. In einer definierten Umgebung, dem Container, bieten Softwareentwickler ihre Programme mit allen Abhängigkeiten fertig installiert zum Einsatz an. Tatsächlich bleiben dem Betreiber der Software Informationen über die Umgebung innerhalb des Containers jedoch häufig vorenthalten. Absichern muss er seine Systeme aber trotzdem.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022