Verwundbarkeit installierter Bibliotheken prüfen

Die Schwachstelle in der Java-Bibliothek Log4j hat Ende des letzten Jahres für großes Aufsehen gesorgt. Was auch zur Konfusion in den ersten Tagen beigetragen hat, war die Tatsache, dass so gut wie niemand Log4j explizit installiert hat. In den meisten Fällen war Log4j nämlich eine Abhängigkeit und wurde bei der Installation eines größeren Softwareprodukts einfach mit aufgespielt. Kaum ein Administrator hat neben all der Software, die täglich installiert und verwaltet wird, noch eine Übersicht über die von dieser Software genutzten Bibliotheken. Das war auch bei Log4j der Fall. Die Konfiguration des Loggers hatte großen Einfluss auf die Möglichkeit für Kriminelle, die Schwachstelle auszunutzen – konfiguriert war sie aber meist schon von den Entwicklern der eigentlichen Software.

Der Siegeszug von Microservices nimmt derweil kein Ende. In einer definierten Umgebung, dem Container, bieten Softwareentwickler ihre Programme mit allen Abhängigkeiten fertig installiert zum Einsatz an. Tatsächlich bleiben dem Betreiber der Software Informationen über die Umgebung innerhalb des Containers jedoch häufig vorenthalten. Absichern muss er seine Systeme aber trotzdem.

Wichtige Updates

Während Sie die gängigen Betriebssysteme auf Ihren Rechnern vermutlich automatisch aktualisieren, müssen Sie eigentlich auch die in den eingesetzten Containern installierte Software im Blick behalten. Was Updates angeht, gibt es unterschiedliche Philosophien. In einem Security-Tipp geht natürlich Sicherheit vor Verfügbarkeit. Das bedeutet, dass verfügbare Updates schnellstmöglich automatisch installiert werden sollten. In den meisten Fällen finden die angebotenen Patches der Distributoren ohne Probleme ihren Weg auf die Systeme.

Für die seltenen Fälle, in denen ein Update zu einer Nichterreichbarkeit des betriebenen Dienstes führen kann, ließe sich argumentieren, dass ein nicht

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.