Cisco untersucht eigenes Portfolio auf gefährliche Java-Lücke

Die weit verbreitete Java-Bibliothek Apache Common Collections ist verwundbar. Cisco untersucht nun, ob die Lücken in seinen Anwendungen und Geräten klafft. Außerdem wurden weitere potentiell angreifbare Java-Bibliotheken entdeckt.

In Pocket speichern vorlesen Druckansicht 69 Kommentare lesen
Cisco untersucht Portfolio auf gefährliche Java-Lücke
Lesezeit: 2 Min.

Cisco will sein Angebot an Geräten und Software auf die gefährliche Sicherheitslücke in der Java-Bibliothek Apache Common Collections (ACC) abklopfen und anschließend Updates verteilen. Dabei sind sie schon auf 40 Produkte gestoßen, die über die Lücke angreifbar sind. Die Liste kann man in der Sicherheitswarnung von Cisco einsehen. Das Unternehmen stuft die Gefahr für einen Übergriff mit der Bewertung Hoch ein; aktuell könne man sich nicht absichern.

Im November zeigte Stephen Breen mit veröffentlichten Exploits für JBoss, Jenkins, OpenNMS, WebLogic und WebSphere auf, dass Angreifer ohne Authentifizierung Code auf verwundbare Server schleusen können. Die Schwachstelle findet sich in der Kommunikation mit Java-Anwendungen. Das Problem dabei ist, dass viele Java-Server-Applikationen oft gar nicht oder nur sehr flüchtig prüfen, ob die übertragenen Objekte vertrauenswürdig sind.

Die genannten Java-Anwendungen sind Breen zufolge nur Beispiele und es können noch mehr betroffen sein; die Anzahl ist derzeit nicht abzuschätzen. Die Veröffentlichung von Breen kommt einem Weckruf gleich, denn die Lücke ist schon seit über zehn Monaten bekannt und erst jetzt stellen verschiedene Anbieter und Hersteller Patches in Aussicht. Vor Cisco hat bereits Oracle einen Patch für den WebLogic Server angekündigt.

Sicherheitsforscher von SourceClear haben nun weitere Java-Bibliotheken untersucht, die einen Bezug zu ACC aufweisen und die Kommunikation mit Java-Anwendungen so handhaben wie ACC. Dabei sind sie auf mehr als 40 nicht direkt verwundbare Bibliotheken gestoßen, die aber Voraussetzungen für erfolgreiche Übergriffe aufweisen sollen. Sie empfehlen Entwicklern, ihren Code auf die entsprechende Schwachstelle abzuklopfen.

Die Kryptologen weisen darauf hin, dass es kniffelig ist, die Sicherheitslücke in Bibliotheken auszumachen. Das Problem dabei ist, dass es kein Fehler in Java ist, sondern in einer Bibliothek. Das macht es schwieriger, betroffene Anwendungen ausfindig zu machen, ergänzte Johannes Ullrich, der Technische Leiter das SANS Institute Internet Storm Center, gegenüber dem IT-Portal The Register. (des)