JFrog hat kostenlose Scan-Tools veröffentlicht, die speziell für Entwickler erstellt wurden, um das Vorhandensein und die Verwendung der Apache Log4j-Schwachstelle sowohl im Quellcode als auch in Binärdateien zu erkennen. Die vier neuen Tools stehen ab sofort über GitHub in Java und Python zum Download bereit.
Die neuen Tools führen spezielle Scans durch, um direkte oder indirekte (transitive) Abhängigkeiten sowie Fälle zu identifizieren, in denen Log4j nicht als separate Datei erscheint, sondern in einem größeren Softwarepaket gebündelt ist und daher schwerer zu entdecken ist.
Die neuen Tools sind kommandozeilenbasiert und lassen sich daher leicht in die bestehenden Umgebungen von Entwicklern integrieren und ihr offener Kern stellt sicher, dass die Funktionen im Laufe der Zeit entsprechend den sich ändernden Anforderungen weiterentwickelt werden können.
„Die Log4j-Schwachstelle hat die Software-Landschaft in Unternehmen erheblich beeinträchtigt, da sie als Komponente in der gesamten Software-Lieferkette weit verbreitet ist, was es schwierig macht, sie schnell zu lokalisieren und zu beheben", berichtet Asaf Karas, CTO von JFrog Security Research.
„In Krisenzeiten ermöglichen Open-Source-Tools, die sowohl Binärdateien als auch den Quellcode scannen, die Zusammenarbeit und Beiträge der Community, um gemeinsam unmittelbare und langfristige Sicherheitsprobleme zu lösen, weshalb wir stolz sind, diese Tools heute zu veröffentlichen."
Branchenuntersuchungen zeigen auf, dass fast die Hälfte aller Unternehmen weltweit bereits von der Log4j-Sicherheitslücke betroffen sind und die Zahl der Vorfälle täglich steigt. Regierungsvertreter aus Deutschland, Österreich, Kanada, Neuseeland, Großbritannien und den USA haben ebenfalls Alarm geschlagen und empfehlen Unternehmen und Softwareanbietern gleichermaßen, sofortige Maßnahmen zu ergreifen.
Die Log4j-Schwachstelle wurde ursprünglich am 24. November vom Alibaba-Cloud-Sicherheitsteam entdeckt und an Apache gemeldet. MITRE wies dieser Schwachstelle CVE-2021-44228 zu, die seitdem von Sicherheitsforschern als Log4Shell bezeichnet wird.