Sicherheitslücken in fast 90 Prozent aller Java-Anwendungen

Java (Bild: Oracle)

Das geht aus dem von CA Veracode veröffentlichtem Bericht State of Software Security (SOSS) 2017 hervor. Demnach enthalten 88 Prozent der Anwendungen mindestens eine angreifbare Komponente. 53 Prozent der Java-Anwendungen bauen sogar auf einer Komponente auf, die über eine Lücke mit CVE-Kennung angreifbar ist.

Die Nutzung von Open-Source-Komponenten für Java-Anwendungen bringt erhebliche Risiken mit sich. Betroffen sind grundsätzlich tausende von täglich genutzten Programmen. Das geht aus der aktuellen Ausgabe des State of Software Security (SOSS) 2017 von CA Veracode hervor.

code-monitor (Bild: Shutterstock)

Dem Berichts des im Frühjahr von CA Technologies übernommenen Spezialisten zufolge sind in 88 Prozent der Java-Anwendungen eine oder mehrere der verwendeten Komponenten für Angriffe anfällig. Und 53 Prozent der Java-Applikationen stützen sich sogar auf Code, in dem eine bereits in die CVE-Schachstellendatenbank aufgenommene Lücke steckt.

Grund dafür ist vor allem die häufige Wiederverwendung von Java-Komponenten. Dadurch kommen die Entwickler schneller voran und erleichtern sich die Arbeit. Laut CA Veracode kann sich so bis zu 75 Prozent des Codes einer Anwendung aus Open-Source-Komponenten zusammensetzen. Es besteht aber eben auch die Gefahr, dass dort enthaltene oder entdeckte Schwachstellen in den anderswo verwendeten Komponenten nicht geschlossen werden – entweder weil nicht mehr an sie gedacht wird oder weil sie gar nicht bekannt sind.

Veracode (Grafik: Veracode)

Darauf hat bereits kürzlich auch der CA-Veracode-Mitarbeiter und silicon.de-Blogger Julian Totzek-Hallhuber hingewiesen. Nicht nur für Entwickler werde so die Arbeit einfacher, auch für Cyberkriminelle: “Wenn eine einzelne Open-Source-Komponente in tausenden Anwendungen ihren Platz findet, muss eine Attacke nicht mehr für jede einzelne Software geplant und durchgeführt werden, sondern lediglich die verwendete Komponente ins Visier genommen werden. So lassen sich tausende Anwendungen auf einen Schlag treffen”, so Totzek-Hallhuber bei silicon.de.

Sein Unternehmen verweist in dem Zusammenhang auf die Probleme mit einem im Frühjahr zur Verfügung gestellten Patch für Apache Struts. Da die Lücke nicht in allen Programmen umgehend geschlossen wurde, die diesen Baustein verwenden, waren Schätzungen zufolge zwischen 30 und 35 Millionen Webseiten darüber angreifbar.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Die achte Ausgabe des Veracode-Berichts basiert auf über 400.000 Code-Analysen und damit 250 Milliarden untersuchten Code-Zeilen. In den vergangenen zwölf Monaten seien dadurch 12,8 Millionen Fehler entdeckt worden. Dem Bericht zufolge führen lediglich 28 Prozent der Unternehmen eine Analyse durch, um die Bausteine ihrer Software zu identifizieren und im Blick zu behalten. Für diese Aufgabe bietet CA Veracode schon länger seine Werkzeuge und Dienste an.

Github und Black Duck ebenfalls aktiv

Konkurrenz bekommen hat es dabei seit kurzem von Github. Die Plattform ermöglicht aktuell zumindest bei Anwendungen auf Basis von Javascript und Ruby Abhängigkeiten von diversen Komponenten automatisch zu ermitteln und ganz neu sogar auch Sicherheitslücken in für das eigene Programm verwendeten Komponenten zu ermitteln.

Ausgewähltes Whitepaper

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Schon länger aktiv ist in dem Bereich das US-Unternehmen Black Duck. Das kann mit seiner Technologie ebenfalls verwendeten Open-Source-Code identifizieren und dessen korrekte Zuordnung automatisieren. Dadurch lassen nicht nur bekannte Sicherheitslücken aufdecken, sondern auch Lizenzfragen klären. Dass derartige Fähigkeiten gefragt sidn zeigt auch der Kauf von Black Duck durch Synopsys. Der Käufer, der bereits Sicherheitsprüfungen an Software allgemein sowie an integrierten Schaltungen anbieten kann, bezahlt für die zusätzliche Expertise und Technologie 565 Millionen Dollar. Die Transaktion soll noch im Laufe des Jahres 2017 abgeschlossen werden.