Editorial: Einsame Verantwortung
Tausende von Servern - auf vielen davon war (oder ist noch) der Log4j-Bug zu finden
Foto: Strato
Letzte Woche war es mal wieder so weit: "Alarmstufe rot" für Millionen
von Serverbetreibern, weil in einer von zahlreichen Programmierern
verwendeten Hilfssoftware ein schwerer Bug steckte: Log4j dient dazu,
Informationen über Fehler und andere Ereignisse zu protokollieren.
Fehler können dabei sowohl lokal als auch auf einem entfernten Server
gesammelt werden. Und die protokollierte Fehlermeldung selber kann Tags
enthalten, die von Log4j automatisch durch einen Wert ersetzt werden.
Das ist praktisch, um Programmversionen, Zeitstempel und ähnliche
Informationen zu sammeln. Es ging aber bei Log4j so weit, dass so ein
Tag Java-Code von einem externen Server nachladen und ausführen konnte.
Das Ergebnis der Ausführung wurde dann geloggt.
Nun ist Logging normalerweise ein interner Dienst, der sich nicht direkt von extern erreichen lässt. Aber viele Anwendungen loggen auch Fehler, die durch Nutzereingaben entstehen. Teil dieser Loggings sind dann meist auch die Nutzereingaben, die zum Fehler geführt haben. Wird dann die Nutzereingabe nicht so gesichert (die Informatiker sprechen von "escaped"), dass Log4j nicht mehr seine eigenen Tags erkennt, dann ist der Exploit perfekt. Die Einfachheit von Log4j macht auch dessen Missbrauch so einfach.
Log4j ist nur eins von 350 Projekten
Tausende von Servern - auf vielen davon war (oder ist noch) der Log4j-Bug zu finden
Foto: Strato
Log4j ist eines der vielen Tools, mit denen die Apache Foundation
das Leben von Programmierern weltweit einfacher macht. Ihr berühmtestes
und wichtigstes Produkt ist der Apache Webserver, der die Inhalte von
Abermillionen Websites weltweit ausliefert - auch die von teltarif.de.
Zwar sind die Zeiten vorbei, in denen der Apache Server 80 oder
90 Prozent Marktanteil hatte: Mit nginx gibt es einen starken
Konkurrenten und immer mehr Websites werden über eingebettete Webserver
direkt aus einer Applikation heraus ausgeliefert. Dennoch hat die
Apache Foundation durch freiwillige Spenden von Apache-Nutzern so viel
Geld eingenommen, dass sie inzwischen über 350 Projekte verwaltet.
Eines davon ist auch Log4j.
Auch, wenn die Apache Foundation in der Freeware-Welt vergleichsweise gut finanziert ist - üppig ist ihr Budget im Vergleich zu Microsoft, Apple und Google definitiv nicht. Und so passiert es auch ihr, dass ihr Fehler durchrutschen oder sie den sicheren Gebrauch ihrer Produkte nicht ausreichend genau dokumentiert. Denn kleinere Projekte wie Log4j werden am Ende von nur wenigen Programmierern verwaltet. Die vielen Millionen Nutzer machen sich hingegen nicht die Mühe, nach Fehlern oder Exploits zu suchen. Sie gehen davon aus, dass die übernommenen Anwendungen reibungslos funktionieren.
Andererseits: Im Vergleich zu den vielen "Remote Code Executions", die immer wieder in Windows, iOS und Android auftauchen, steht Apache wirklich blendend da. Der Unterschied ist nur, dass Server-Betreiber dieses Mal nicht das Betriebssystem, sondern die Anwendungen upgraden müssen, was vom Prozess her meist komplizierter ist. Zudem lassen sich von einem kompromittierten Server oft deutlich mehr Daten stehlen als von einem gehackten privaten Windows-PC. Steuererklärungen und Kündigungsschreiben sind für die Gauner im Internet dann halt doch weniger interessant als Nutzerdatenbanken mit Millionen von Kreditkarteninformationen.