In dem Skript zum Absichern vor der log4j-Lücke von Amazon steckt eine Sicherheitslücke. Angreifer könnten ihre Rechte über die Schwachstelle ausweiten.
Zum temporären Absichern der log4j-Sicherheitslücke hatte Amazon seinen Cloud-Kunden ein Hotpatch-Skript zur Verfügung gestellt. Eine Schwachstelle in diesem Skript könnte aber Angreifern gestatten, ihre Rechte auszuweiten und so dann die Kontrolle zu übernehmen.
Eigentlich soll das Skript log4j-cve-2021-44228-hotpatch die laufenden Java-Prozesse durchforsten, mehrere Checks vornehmen und verwundbare Java-VMs mit einem Hotfix versehen neu starten. Es ersetzt dabei aber offenbar nicht das korrekte Abdichten der log4j-Sicherheitslücke mit aktualisierter Java-Software. Das Skript sollte auch nur als Übergangslösung zum Einsatz kommen.
Mehr Rechte in AWS
Amazon schreibt in einer Sicherheitsmeldung dazu, dass das Skript vor der aktuellen Fassung log4j-cve-2021-44228-hotpatch-1.3-5 wegen einer so genannten Race-Condition die lokale Rechteausweitung möglich machen könnte. Amazon stuft diese Sicherheitslücke als wichtig (important) ein.
Administratoren, die das Skript auf ihren Maschinen installiert haben, sollten sich deshalb dringend darum kümmern und die aktualisierte Version des Hotpatch-Skripts installieren. Die soll die Fehler beseitigen, und Amazon empfiehlt den Aufruf von
yum update log4j-cve-2021-44228-hotpatch.
Die korrekte Lösung wäre es aber eigentlich, die eingesetzte Software so zu aktualisieren, dass sie die log4j-Sicherheitslücke nicht mehr besitzt. Danach sollten die Admins dann das Hotpatch-Skript ganz deinstallieren, um die Angriffsoberfläche nicht ohne Not zu vergrößern.
