Verwundbarkeit installierter Bibliotheken prüfen

Die Schwachstelle in der Java-Bibliothek Log4j hat Ende des letzten Jahres für großes Aufsehen gesorgt. Was auch zur Konfusion in den ersten Tagen beigetragen hat, war die Tatsache, dass so gut wie niemand Log4j explizit installiert hat. In den meisten Fällen war Log4j nämlich eine Abhängigkeit und wurde bei der Installation eines größeren Softwareprodukts einfach mit aufgespielt. Kaum ein Administrator hat neben all der Software, die täglich installiert und verwaltet wird, noch eine Übersicht über die von dieser Software genutzten Bibliotheken. Das war auch bei Log4j der Fall. Die Konfiguration des Loggers hatte großen Einfluss auf die Möglichkeit für Kriminelle, die Schwachstelle auszunutzen – konfiguriert war sie aber meist schon von den Entwicklern der eigentlichen Software.

Der Siegeszug von Microservices nimmt derweil kein Ende. In einer definierten Umgebung, dem Container, bieten Softwareentwickler ihre Programme mit allen Abhängigkeiten fertig installiert zum Einsatz an. Tatsächlich bleiben dem Betreiber der Software Informationen über die Umgebung innerhalb des Containers jedoch häufig vorenthalten. Absichern muss er seine Systeme aber trotzdem.

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.