Start Nachrichten Google: OSS-Fuzz soll Log4j-Fehler in Open-Source-Software finden

Google: OSS-Fuzz soll Log4j-Fehler in Open-Source-Software finden

39
0


Googles Projekt „OSS-Fuzz“ zum Testen von Open-Source-Software ist jetzt auf der Suche nach dem Fehler in der Java-Bibliothek Log4j. Die Schwachstelle in Javas Fehlerprotokollierungsbibliothek ist derzeit angreifbar und wird wahrscheinlich noch bis zum Patchen betroffener Systeme bestehen bleiben. Die vor etwas mehr als einer Woche entdeckte Zero-Day-Lücke wird als CVE 2021-44228 geführt und ist letzte Woche mit der von der Apache Foundation veröffentlichten Log4j-Version 2.15.0 teilweise behoben worden.

Bei OSS-Fuzz handelt es sich um einen 2016 vorgestellten kostenlosen Dienst zum Testen von Open-Source-Projekten mittels Fuzzing – eine Methode, bei der die zu testende Software mit bewusst oder zufällig fehlerhaften Eingabedaten gefüttert wird. Dadurch lassen sich möglicherweise durchrutschende Fehler wie Pufferüberläufe aufdecken, die zu Abstürzen führen können. OSS-Fuzz wird derzeit von mehr als 500 kritischen Open-Source-Projekten genutzt, wie Google in seinem Sicherheitsblog schreibt.

Im Rahmen einer im März angekündigten Partnerschaft mit dem deutschen, auf Fuzz-Testing spezialisierten Unternehmen Code Intelligence testet Google eine Integration von Jazzer in OSS-Fuzz. Damit ist das Fuzzing auch über JVM-Applikationen (Java Virtual Machine) auf Schwachstellen möglich. Code Intelligence hat in diesem Zusammenhang seine Jazzer-Fuzzing-Engine verbessert, damit sie Remote-JNDI-Lookups erkennen kann.



OSS-Fuzz und Jazzer finden Log4Shell-Schwachstelle

(Bild: Google)

„Schwachstellen wie Log4Shell sind für die Industrie ein Augenöffner für neue Angriffsmöglichkeiten. Mit OSS-Fuzz und Jazzer können wir jetzt diese Art von Schwachstellen aufspüren, so dass sie behoben werden können, bevor sie zu einem Problem im Produktionscode werden“, sagt Jonathan Metzman vom Google Open Source Security Team.

Im vergangenen Jahr hat Google eigenen Angaben zufolge mehr als zehn Milliarden Dollar in Cybersicherheitsmaßnahmen investiert und mit 100 Millionen Dollar Drittanbieter unterstützt, die sich mit der Behebung von Schwachstellen befassen.

Apache-Entwickler listen in einer Sicherheitsmeldung zudem mögliche Schritte zur Sicherung der Server auf. Die vom Log4j bereitgestellten Informationen werden täglich aktualisiert, zuletzt am 17. Dezember.


(mack)

Zur Startseite



Quelle

Vorheriger ArtikelBattlefield 2042 kostenlos auf Steam verfügbar
Nächster Artikel„Regeln sind Regeln“: Nach Gala-Verzicht droht Hamilton Strafe

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein