Start Nachrichten Patch gegen Log4j für Amazon Web Services reißt neue Sicherheitslöcher auf

Patch gegen Log4j für Amazon Web Services reißt neue Sicherheitslöcher auf

16
0


Nutzer von Amazon Web Services (AWS) sollten sicherstellen, dass sie den aktuellen Hotpatch gegen die Java-Lücke Log4j installiert haben. Andernfalls sind Systeme für weitere Attacken verwundbar.

Die Schwachstelle (CVE-2021-44228) in der verbreiteten Log4j-Protokollierungsbibliothek für Java-Anwendungen ist als „kritisch“ (CVSS Score 10 von 10) eingestuft. Sicherheitsupdates sind seit Dezember 2021 verfügbar – auch für AWS. Setzen Angreifer erfolgreich an der Lücke an, könnten sie Schadcode ausführen und Systeme vollständig kompromittieren. Es gibt bereits Attacken.

Wie Amazon nun in einem Beitrag mitteilt, hat sich der erste Hotpatch als fehlerhaft herausgestellt und vier Sicherheitslücken (CVE-2021-3100, CVE-2021-3101, CVE-2022-0070, CVE-2022-0071 alle „hoch„) aufgerissen. Nach erfolgreichen Attacken könnten Angreifer aus Containern ausbrechen und sich höhere Nutzerrechte bis zum Root aneignen.

Amazon rät allen Nutzern die Java-Applikationen in Containern und den alten Hotpatch oder Hotdog einsetzen, einen der aktualisierten Sicherheitspatches zu installieren. Das gelingt über sudo yum update.

  • Amazon Linux: log4j-cve-2021-44228-hotpatch-1.1-16.amzn1
  • Amazon Linux 2: log4j-cve-2021-44228-hotpatch-1.1-16.amzn2

Außerdem sollte sichergestellt sein, dass der aktuelle Linux-Kernel zum Einsatz kommt. Nutzer von Bottlerocket müssen zur Absicherung die aktuelle Version installieren.

Der Fehler des ersten Hotpatches liegt Sicherheitsforschern zufolge darin, dass er jeden Prozess, der eine Binärdatei mit „java“ im Namen hat, patcht – das geschehe mit erhöhten Rechten. So könnte Schadcode mit „java“ im Namen etwa aus Containern ausbrechen.


(des)

Zur Startseite



Quelle

Vorheriger ArtikelWie Mikrofusionsbomben: Neuartige Sternexplosion entdeckt
Nächster ArtikelSkyrim, AC & Co: Diese eine Lektion müssen Open-World-Spiele endlich lernen

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein