Meine Meinung zu log4shell ist zweigeteilt: ① in den letzten Jahren haben Sicherheitsforscher ihre PR verbessert und trommeln richtig bei allen möglichen Problemen, am besten mit einer hippen Webseite und einem coolen Namen (log4shell, shellshock). Im Grunde ist das aber mehr deren Marketing, um ihre Dienstleistungen zu verkaufen und sich besser im akademischen Markt zu positionieren. Die Deppen von den Medien haben meist keine Ahnung von und noch weniger ein Gespür für IT und schreiben eh immer gern, dass die Welt untergeht. Bei vielem Geschrei sollte man also für sich die Lautstärke auf ein sinnvolles Maß herunterregeln.
② Dem entgegen muss ich aber sagen, dass Bugs in zentralen Komponenten immer hässlich sind. Das war vor Jahren Heartbleed in OpenSSL, Anfang 2021 die Probleme mit Exchange oder auch die XP-Lücke mit WannaCry vor 2 oder 3 Jahren. Log4j ist insofern auch hässlich, weil es einfach sehr häufig eingesetzt wird: Server, Android-Apps, IoT-Geräte usw. Wenn dann noch die Systeme über das Internet erreichbar sind (wie bei l4j) wird es megahässlich. Das ist wie mit Bugs im Linux-Kernel oder in zentralen Bibliotheken von Android. Da steppt dann der Bär und das mit 140 bpm.
Letztendlich: Die Welt wird davon nicht untergehen (genauso wenig wie von einem Vulkanausbruch auf Island oder Ehec), es wird sicher für einige viel Geld kosten, die Auswirkungen sind sehr vielfältig (Serverübernahmen, Anmeldedatenklau für Drittsystem, DDoS-Angriffe auf Fremdsysteme) und – was hier leider hinzukommt – es wird uns Jahre begleiten. Das Hauptproblem ist nämlich nicht die Lücke in log4j, sondern massenhaft Systeme, die nicht gepflegt werden oder gepflegt werden können. Ein Update für einen Kühlschrank oder die Lichterkette macht niemand, geschweige denn, dass der Hersteller ein Update bereitstellt. Aber auch auf vielen Servern läuft Software, die nur halb konfiguriert ist (ohne Sicherheitsvorkehrungen wie SELinux/AppArmor) und die unwartbar (im Container) ist bzw. nicht gewartet wird.