Google: OSS-Fuzz soll Log4j-Fehler in Open-Source-Software finden
Googles Projekt "OSS-Fuzz" zum Testen von Open-Source-Software ist jetzt auf der Suche nach Fehlern aus der Java-Bibliothek Log4j.
Googles Projekt "OSS-Fuzz" zum Testen von Open-Source-Software kann nun auch nach Fehlern aus der Java-Bibliothek Log4j in Projekten suchen. Die Schwachstelle in der weit verbreiteten Protokollierungsbibliothek für Java-Anwendungen ist derzeit angreifbar und wird wahrscheinlich noch bis zum Patchen betroffener Systeme bestehen bleiben. Die vor etwas mehr als einer Woche entdeckte Zero-Day-Lücke wird als CVE 2021-44228 geführt und [Update 18.12.21, 13:30: soll mit der von der Apache Foundation veröffentlichten Log4j-Version 2.17.0 behoben worden sein. Version 2.16.0 begegnete dem Problem nur teilweise, schützte aber nicht vor unkontrollierter Rekursion durch selbstreferenzielle Lookups.]
Lesen Sie auch
Erster Wurm "kriecht" durch Log4j-Sicherheitslücke
Bei OSS-Fuzz handelt es sich um einen 2016 vorgestellten kostenlosen Dienst zum Testen von Open-Source-Projekten mittels Fuzzing – eine Methode, bei der die zu testende Software mit bewusst oder zufällig fehlerhaften Eingabedaten gefüttert wird. Dadurch lassen sich möglicherweise durchrutschende Fehler wie Pufferüberläufe aufdecken, die zu Abstürzen führen können. OSS-Fuzz wird derzeit von mehr als 500 kritischen Open-Source-Projekten genutzt, wie Google in seinem Sicherheitsblog schreibt.
Integration von Jazzer soll helfen
Im Rahmen einer im März angekündigten Partnerschaft mit dem deutschen, auf Fuzz-Testing spezialisierten Unternehmen Code Intelligence testet Google eine Integration von Jazzer in OSS-Fuzz. Damit ist das Fuzzing auch über JVM-Applikationen (Java Virtual Machine) auf Schwachstellen möglich. Code Intelligence hat in diesem Zusammenhang seine Jazzer-Fuzzing-Engine verbessert, damit sie Remote-JNDI-Lookups erkennen kann.
(Bild: Google)
"Schwachstellen wie Log4Shell sind für die Industrie ein Augenöffner für neue Angriffsmöglichkeiten. Mit OSS-Fuzz und Jazzer können wir jetzt diese Art von Schwachstellen aufspüren, sodass sie behoben werden können, bevor sie zu einem Problem im Produktionscode werden", sagt Jonathan Metzman vom Google Open Source Security Team.
Im vergangenen Jahr hat Google nach eigenen Angaben mehr als zehn Milliarden Dollar in Cybersicherheitsmaßnahmen investiert und mit 100 Millionen Dollar Drittanbieter unterstützt, die sich mit der Behebung von Schwachstellen befassen.
Apache-Entwickler listen in einer Sicherheitsmeldung zudem mögliche Schritte zur Sicherung der Server auf. Die vom Log4j bereitgestellten Informationen werden täglich aktualisiert, zuletzt am 17. Dezember.
(mack)