Napisane przez Opublikowane 10 grudzień 2021 Aktualizacja 10 grudzień 2021

Luka w zabezpieczeniach, między innymi w Minecraft - RCE 0-day exploit w Log4j

bolda500 10 grudzień 2021

Podczas ostatnich prac nad wydaniem Minecraft 1.18.1 chwilę po wydaniu, okazało się, że odnalieziono lukę w postaci exploita. Sprawa jest na tyle poważna, że dotyczy to praktycznie wszystkich usług uruchamianaych na oprogramowaniu Java. 
 
Exploit jest bardzo prosty i wymaga aby po stronie serwerowej logowane było coś, co atakujący prześle w dowolny sposób do aplikacji. Wykorzystanie podatności daje możliwość wykonania wrogiego kodu po stronie każdego serwera z uruchomioną Java.
 
Obecnie wiadomo jakie pierwsze usługi są podatne na explouit Log4j -  Steam (wyszukiwarka), Apple (icloud), Minecraft (klient i serwer). W chwili pisania tego tekstu dostępna jest już łatka w zaktualizowanej bibliotece Apache Log4j 2.15.0
 
Wszystkie wersje Minecraft od wersji 1.7 do wydania 1.18 są podatne na exploit znaleziony w Log4j. Poniżej przeczytasz jak naprawić lukę w zabezpieczeniach Minecraft 1.7 do 1.18.
 
Udostępnij ten wpis dla innych, aby pomóc zabezpieczyć
serwery Minecraft innych graczy.
 

Co musisz zrobić aby zabezpieczyć się przez exploitem Log4j

Oficjalny klient gry Minecraft

Jeśli grasz w grę Minecraft: Edycja Java, ale nie hostujesz własnego serwera musisz tylko wyłączyć na chwilę Minecraft oraz wyłączyć Launcher Minecraft. Po ponownym uruchomieniu, wersja z łątką zostanie pobrana automatycznie.

Serwery gry Minecraft

Zmodyfikowane klienty gry Minecraft (inne Launchery) nie otrzymają aktualizacji automatycznie, chyba że ich twórcy mogą to zrobić później, musisz założyć, że tego nie zrobili. W takim przypadku postępuj zgodnie z poniżej pokazanymi wytycznymi.
 
Aby wprowadzić łatkę bezpieczeństwa na własny serwer Minecraft: Edycja Java (Spigot, Paper Spigot, Vanilla oraz inne) wykonaj poniższe kroki:
  • 1.18 - Ukatualnij serwer do wersji 1.18.1, jeśli to możliwe, jeśli nie wykonaj takie same kroki jak dla wersji 1.17.x
  • 1.17.x - Dodaj parametr startowy do argumentu JVM w wierszu peleceń uruchamiania: -Dlog4j2.formatMsgNoLookups=true
  • 1.12 - 1.16.5: Pobierz ten plik do katalogu roboczego, w którym działa serwer. Następnie dodaj następujące argumenty JVM do wiersza poleceń uruchamiania: -Dlog4j.configurationFile=log4j2_112-116.xml
  • 1.7 - 1.11.2: Pobierz ten plik do katalogu roboczego, w którym działa serwer. Następnie dodaj następujące argumenty JVM do wiersza poleceń uruchamiania: -Dlog4j.configurationFile=log4j2_17-111.xml
  • Luka nie występuje w Minecraft poniżej wersji 1.7
 
AKTUALIZACJA
20:30 10.12.2021
Poniżej zamieszczamy listę wersji silników serwerowych, które mają naniesione łatki bezpieczeństwa.
 
Forge
Pobierz wersję z łątką. Wszystkie wymienione niżej wersje zostały zaktualizowane -> Forge Mod
  • 1.18 - 38.0.17
  • 1.17.1 - 37.1.1
  • 1.16.5 - 36.2.20
  • 1.15.2 - 31.2.56
  • 1.14.4 - 28.2.24
  • 1.13.2 - 25.0.221
  • 1.12.2 - 14.23.5.2856
PaperMC/Velocity/Waterfall:
Wszystkie wersje PaperMC z łatką - POBIERZ
  • PaperMC 1.16.5 #792 lub nowsze
  • PaperMC 1.17 #399 lub nowsze
  • PaperMC 1.18 #66 lub nowsze
 
  • Waterfall #468 lub nowsze - POBIERZ
  • Velocity 3.1.1 #98 lub nowsze - POBIERZ
 
Jeśli zajdzie potrzeba przekazania dodatkowych informacji dotczących luki Log4j, opublikowana zostanie ona na kanałach społecznościowych. 

Oceń artykuł
5 1 1 1 1 1 Ocena 5.00 (4 ocen)
Udostępnij