Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Log4Shell: Apple schließt kritische Sicherheitslücke in iCloud

Log4Shell – dieser Begriff bereitet großen und kleinen Tech-Unternehmen, Cloud-Anbietern und sogar Autoherstellern sowie deren Administratoren seit einigen Tagen großes Kopfzerbrechen und sorgt für viel Arbeit. Unter diesem Namen wurde nämlich eine kürzlich entdeckte Schwachstelle bekannt, welche zahlreiche Systeme gefährdet, darunter so bekannte Dienste wie iCloud, Twitter, Steam und Amazon, aber auch Tesla, Google und LinkedIn. Allen gemeinsam ist, dass sie die Java-Komponente Log4j einsetzen, die eine gefährliche Sicherheitslücke aufweist.


Schwachstelle in Log4j ermöglicht gefährliche Angriffe
Die von der Apache Software Foundation entwickelte Bibliothek dient dem Logging von Meldungen in Anwendungen, welche in Java programmiert sind. Im Zusammenspiel mit dem Java Naming and Directory Interface (JNDI) lässt sie sich allerdings dazu missbrauchen, auf einem Server nahezu beliebigen Code auszuführen. Angreifer müssen hierfür lediglich eine Zeichenkette übermitteln, welche dem Format ${jndi:ldap://[Adresse]/[Payload]} entspricht. Der Angriff kann somit etwa durch eine entsprechend konfigurierte Browserkennung initiiert werden, aber beispielsweise auch durch den böswillig definierten Namen eines iPhones. Wegen der weltweiten Verbreitung von Log4j stellt die Sicherheitslücke eine große Gefahr dar. Sie ermöglicht unter anderem das Abgreifen von Login-Informationen, Ransomware-Angriffe und die Installation von Krypto-Minern auf den betroffenen Systemen.

Apple hat iCloud schnell abgedichtet
MacBook, iMac, Mac mini und Mac Pro sind nach derzeitigem Kenntnisstand in aller Regel nicht unmittelbar von den Problem betroffen. Eine direkte Gefahr für die Computer aus Cupertino besteht vermutlich nur, wenn auf diesen Anwendungen oder Dienste genutzt werden, welche Log4j für die Protokollierung einsetzen und zudem eingehende Verbindungen aus dem Internet akzeptieren. Eine mittelbare Bedrohung stellen jedoch Cloud-Services und andere Dienste dar, mit welchen sich die Rechner verbinden, also etwa iCloud, Twitter, Amazon Web Services oder CloudFlare. Die Anbieter müssen ihre Systeme so schnell wie möglich patchen, um Angriffe auf ihre Infrastruktur mithilfe von Log4Shell abwehren zu können. Apple hat bereits entsprechende Schritte unternommen. Howard Oakley berichtet in seinem Blog The Eclectic Light Company, dass Sicherheitsforscher noch am 9. und 10. Dezember die Anfälligkeit von iCloud nachweisen konnten, am 11. Dezember war die Sicherheitslücke dann auf den Servern des kalifornischen Unternehmens geschlossen.

Apache veröffentlicht abgesicherte Version von Log4j
Apache hat mittlerweile Version 2.16.0 von Log4j veröffentlicht, in dieser ist die Schwachstelle behoben. Angesichts der Vielzahl der Webseiten, Dienste und Anbieter, welche die Bibliothek einsetzen, kann es allerdings einige Zeit dauern, bis die Sicherheitslücke weltweit geschlossen ist. Da die Java-Komponente zudem in zahlreichen IoT-Geräten wie Video-Überwachungssystemen oder auch WLAN-Routern zu finden ist, dürfte die Gefahr noch länger bestehen. Viele derartige Devices erhalten erfahrungsgemäß nur sehr schleppend Updates, wenn überhaupt. Der Hersteller Ubiquiti zumindest hat für die hauseigenen Mesh-Systeme bereits eine Aktualisierung seines Tools UniFi Network Application zur Verfügung gestellt.

Kommentare

Deichkind14.12.21 17:17
In Versionen des XCode.app bundle schlummert ebenfalls eine der anfälligen Versionen des Log4j, hat man mir mitgeteilt. Da wird Apple wohl auch noch tätig werden oder die Benutzer selbst.
+4
TiBooX
TiBooX14.12.21 17:58
Ich hoffe sehr, dass sie analysieren ob nicht bereits backdoors installiert wurden.
Ich hab in meinen Flegeljahren (80er) auch mal ein ganzes Firmennetzwerk eines Schulungsunternehmens übernommen und als erstes ein "back door/Hintertür" in Form eines Test-Benutzers eingerichtet, damit ich sofort wieder drin bin falls jemand die "Haustür" zugeworfen hätte.
Dem Test-Benutzer habe ich einfach Supervisor-Rechte und ein neues Passwort verpasst.

Ich finde es immer noch unfassbar dumm, wie in einem Logging-Werkzeug Shell-Zugriff (und auch noch auf opt-out) enthalten sein kann. Zudem noch in einem Java Tool?!
Die meisten "Verwender" werden wohl ähnlich (FALSCH) gedacht haben und ohne Argwohn gerade mal die Logging-Features verwendet haben (log4j, wie der Name schon sagt)
KISS keep it simple stupid!
So sieht eigentlich jedes Tool/Lib/App nach einer Weile (20 Jahre?) aus, wenn alle Wünsch-dir-was spielen 'dürfen' und kein Geld für saubere Konzepte oder gar Qualitätssicherung ausgegeben wird.
People who are really serious about software should make their own hardware [A. Kay]
+6
Peter Eckel14.12.21 18:28
TiBooX
Ich finde es immer noch unfassbar dumm, wie in einem Logging-Werkzeug Shell-Zugriff (und auch noch auf opt-out) enthalten sein kann. Zudem noch in einem Java Tool?!
Absolut und hunderprozentig Deiner Meinung.

Ein schöner Beitrag dazu bei Heise:

Das ist kein "Bug", der da "passiert" ist. Das ist eine absichtlich, grob fahrlässig aus Dummheit eingebaute Sicherheitslücke in einer zentralen und extrem weitverbreiteten Softwarekomponente. Die Konsequenz kann und darf eigentlich nur die sein, den Mist wirklich überall rauszuwerfen. Mindestens log4j, aber der ganze Java-Kosmos ist voll von derlei Konstruktionen (und nein, Java ist da nicht allein auf weiter Flur - npm, docker etc. sind auch nicht viel besser).

Den Schlußsatz des Heise-Artikels sollte man sich einrahmen und an die Wand hängen.
TiBooX
KISS keep it simple stupid!
Das ist die heute noch uneingeschränkt gültige Kurzform. Genau.
Ceterum censeo librum facierum esse delendum.
+5
Peter Eckel15.12.21 10:46
Für den Fall, daß irgendjemand glaubt, die Kollegen, die das versaut haben, würden es im ersten Ansatz hinbekommen, das Problem zu lösen: Falsch.

Es gibt einen neuen Patch, den Release Notes zufolge haben sie die dämliche Funktion jetzt wirklich per Default ausgeschaltet. Der Patch von gestern war leider nicht vollständig:

Also wer gestern fleißig die 2.15 eingespielt und/oder JNDI-Lookups abgeschatet hat: Nochmaaal!
Ceterum censeo librum facierum esse delendum.
+1
Nebula
Nebula16.12.21 03:19
Schockierender als den „Bug“ finde ich eigentlich, dass Apple Java nutzt.
»Wir werden alle sterben« – Albert Einstein
0
Peter Eckel19.12.21 19:30
... und für den Fall, daß irgendjemand geglaubt hat, dieser Java-Mist sei sicher zu bekommen: log4j 2.1.18 ist da. Und CVE-2021-45105.

Fortsetzung folgt.
Ceterum censeo librum facierum esse delendum.
0
Peter Eckel19.12.21 20:18
Peter Eckel
... und für den Fall, daß irgendjemand geglaubt hat, dieser Java-Mist sei sicher zu bekommen: log4j 2.1.18 ist da. Und CVE-2021-45105.

Fortsetzung folgt.
2.17.0 natürlich. Aber wartet einfach etwas, dann stimmt 2.18.0 (was ich natürlich oben meinte) auch.
Ceterum censeo librum facierum esse delendum.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.