Alert!

Patch gegen Log4Shell für Amazon Web Services reißt neue Sicherheitslöcher auf

Da das erste Log4j-Sicherheitsupdate für AWS fehlerhaft ist und neue Attacken ermöglicht, gibt es nun eine reparierte Version.

In Pocket speichern vorlesen Druckansicht 10 Kommentare lesen

(Bild: Artur Szczybylo/Shutterstock.com)

Lesezeit: 2 Min.
Inhaltsverzeichnis

Nutzer von Amazon Web Services (AWS) sollten sicherstellen, dass sie den aktuellen Hotpatch gegen die Java-Lücke in Log4j installiert haben. Andernfalls sind Systeme für weitere Attacken verwundbar.

Die Schwachstelle (CVE-2021-44228) in der verbreiteten Log4j-Protokollierungsbibliothek für Java-Anwendungen ist als "kritisch" (CVSS Score 10 von 10) eingestuft. Sicherheitsupdates sind seit Dezember 2021 verfügbar – auch für AWS. Setzen Angreifer erfolgreich an der Lücke an, könnten sie Schadcode ausführen und Systeme vollständig kompromittieren. Es gibt bereits Attacken.

Wie Amazon nun in einem Beitrag mitteilt, hat sich der erste Hotpatch als fehlerhaft herausgestellt und vier Sicherheitslücken (CVE-2021-3100, CVE-2021-3101, CVE-2022-0070, CVE-2022-0071 alle "hoch") aufgerissen. Nach erfolgreichen Attacken könnten Angreifer aus Containern ausbrechen und sich höhere Nutzerrechte bis zum Root aneignen.

Amazon rät allen Nutzern, die Java-Applikationen in Containern und den alten Hotpatch oder Hotdog einsetzen, einen der aktualisierten Sicherheitspatches zu installieren. Das gelingt über sudo yum update.

  • Amazon Linux: log4j-cve-2021-44228-hotpatch-1.1-16.amzn1
  • Amazon Linux 2: log4j-cve-2021-44228-hotpatch-1.1-16.amzn2

Außerdem sollte sichergestellt sein, dass der aktuelle Linux-Kernel zum Einsatz kommt. Nutzer von Bottlerocket müssen zur Absicherung die aktuelle Version installieren.

Der Fehler des ersten Hotpatches liegt Sicherheitsforschern zufolge darin, dass er jeden Prozess, der eine Binärdatei mit "java" im Namen hat, patcht – das geschehe mit erhöhten Rechten. So könnte Schadcode mit "java" im Namen etwa aus Containern ausbrechen.

(des)