Es gibt mal wieder eine Sicherheitslücke. Diesmal in der weit verbreiteten Java-Logging Bibliothek "Log4j" wie Heise berichtete.
Wenn man die Liste der Firmen anschaut, welche diese Bibliothek mutmaßlich einsetzen ist das auch leicht erschreckend. Hinzu kommt, dass Java eben auch mehr oder weniger die Hauptprogrammiersprache ist, wenn es um Geschäftsanwendungen geht. Eben weil es dazu auch schon sehr viele Bibliotheken gibt.
Dieser XKCD zum Thema Dependency bringt es wirklich gut auf den Punkt. Irgendjemand schreibt eine ziemlich gute Bibliothek und viele Programmierer nutzen diese einfach. Das ist durchaus legitim, man nennt es auch Open Source Software. Allerdings hatten wir doch schon mal mit Heartbleed Lücken in der OpenSSL Bibliothek das gleiche Szenario. Irgendjemand kümmert sich in seiner Freizeit unbezahlt um eine Bibliothek, die wiederum sehr viele große Firmen einfach kostenfrei nutzen. Vermutlich bekommt dieser Programmierer nicht mal irgendeine Form des Dankes zurück. Und dann wundern wir uns, wenn irgendwann mal eine Sicherheitslücke gefunden wird und plötzlich das ganze Internet davon betroffen ist. Die gesammelten Memes dazu sind jedenfalls goldig.
Dieser Tweet fasst die Situation auch nochmal gut zusammen. Besonders bemerkenswert finde ich die Tatsache, dass ausgerechnet die Minecraft Leute diesen Bug entdeckt haben. Das kam wirklich unerwartet. Scheinbar ist die Mod Community dort mittlerweile auch sehr gut in solchen Dingen.
"How to RCE billions of Java apps by fuzzing Minecraft" was not in my bingo card for this century.
— Alesandro Ortiz ?????? (@AlesandroOrtizR) December 12, 2021
Ich bin echt gespannt, was nun alles bei uns in der Firma davon betroffen ist und wie schnell man das Problem abstellen kann.
Update vom 13.12.2021:
Heise hat schon einen Artikel mit Lösungsvorschlägen veröffentlicht.
Golem hat natürlich auch einen Beitrag dazu veröffentlicht.