В пятницу утром в выпуске Minecraft на Java была обнаружена уязвимость в безопасности, которая позволяет злоумышленнику запускать вредоносный код на расстоянии. Mojang немедленно исправил последнюю версию 1.18.1, чтобы исправить эту проблему, но более старые версии игры потенциально все еще остаются затронутыми.
Недостаток, обнаруженный в библиотеке log4j
В пятницу утром произошло землетрясение, которое потрясло значительную часть разработчиков Java во всем мире, когда стало известно об обнаружении недостатка типа "нулевого дня" в библиотеке log4j, которая используется очень многими приложениями java по всему миру, и особенно в Minecraft, начиная с версии 1.7.
Эта библиотека позволяет управлять регистрацией в программном обеспечении, то есть создавать отчеты с различной информацией: сообщениями об ошибках, информацией об отладке и т. д. Эта библиотека упрощает создание этих журналов, позволяя настраивать их с помощью простого конфигурационного файла, таким образом, вы можете выбрать тип сообщения для входа в систему, где сохранить эту информацию и т. д.
Но в эту пятницу мы узнали о недостатке 0-дневного типа, то есть о недостатке, который, похоже, уже использовался (и даже широко использовался) злоумышленниками и который все еще не был исправлен в библиотеке на момент его раскрытия. Недостаток бабушки был назван серьезным из-за его простоты эксплуатации и широкого распространения. Недостаток очень быстро заделаны уже в пятницу утром, создатели библиотеки, и Mojang также реагирует очень быстро, так как уже в 5 часов утра они имеют выход на новый Релиз-кандидат 1.18.1-rc3 , чтобы включить исправленная версия log4j, всего за несколько часов до выхода Release 1.18.1, которые включены выемка же исправление.
Какие риски для игроков в Minecraft ?
Обнаруженная ошибка позволяет злоумышленнику, который знает о зарегистрированных сообщениях, вводить в эти журналы определенную цепочку символов, которая будет выполняться log4j. В частности, это команды типов jndi, которые можно было выполнять, позволяя вызывать такие службы, как http, dns, LDAPи т. д.
Но чтобы внедрить эти команды в свои журналы, вам необходимо связаться с вами, поэтому недостаток не повлияет на вас, если вы играете в одиночку, это может повлиять только на игроков, играющих на многопользовательских серверах.
Когда уязвимость используется, она позволяет злоумышленнику получить доступ к ряду служб, размещенных на компьютере цели, но в конечном итоге не все эти службы особенно чувствительны (например, это не принесет много пользы злоумышленнику при загрузке веб-страницы на компьютер жертвы).). Наиболее чувствительным сервисом является сервис LDAP, поскольку именно он управляет учетными записями пользователей в корпоративных сетях, но ни один потребительский ПК не использует этот тип серверов, поэтому здесь риск минимален.
Очевидно, что владельцы серверов также подвержены влиянию, и в конечном итоге они будут затронуты даже больше, чем игроки, поскольку у них больше шансов получить доступ к службе LDAP на компьютере (но только в структурах с несколькими серверами, поскольку сервер LDAP ничего не обслуживает на одной машине).
Влияют только игроки Minecraft Java Edition, библиотека bilbi Library log4j, как следует из названия, доступна только для Java и поэтому не используется изданием Bedrock.
В конце концов, если вы не являетесь системными администраторами в крупной компании и не играете в Minecraft в многопользовательской игре на своей рабочей станции, риск для вас минимален. Недостаток, который был квалифицирован как серьезный, особенно серьезен, поскольку log4j используется многими бизнес-приложениями, подключенными и доступными по сети, что дает злоумышленникам прямой доступ к серверам, запускающим эти службы, и, следовательно, возможность получить контроль над ними. Но в случае с Minecraft риски намного меньше.
Как защититься от этого недостатка ?
Mojang исправил ошибку в версии Minecraft 1.18.1, поэтому вам настоятельно рекомендуется играть в эту версию, чтобы избежать риска атаки. Случайность или воля ? Mojang позаботился о том, чтобы не менять номер протокола между версиями 1.18 и 1.18.1, что означает, что вы сможете играть на сервере версии 1.18 с вашей игрой версии 1.18.1.
Если вы играете в старой версии Minecraft, вам придется принять некоторые дополнительные меры предосторожности:
- • Для версий Alpha, Beta и Release от 1.0.0 до 1.6: никаких проблем, потому что Minecraft не использовал log4j, поэтому никаких рисков.
- • С другой стороны, в версиях с 1.7 по 1.17 необходимо соблюдать большую осторожность, используйте только исправленную программу запуска, чтобы устранить проблему. Конечно, официальная программа запуска Mojang уже исправлена, просто запустите ее снова, чтобы она автоматически обновилась и интегрировала исправление. Если вы используете альтернативный лаунчер, дождитесь официального объявления от создателей о том, что их лаунчер был исправлен, чтобы устранить проблему.
- • И в любом случае, если вы играете в версии 1.18.1 или играете только в одиночку, на вас эта проблема не влияет.
Для владельцев многопользовательских серверов Mojang дает несколько советов по защите ваших серверов от потенциальных атак здесь.
Установка В версии Java обнаружена уязвимость безопасности.
- 1.Убедись, что у тебя установлен Minecraft Forge.
- 2.Скачате мод для своей версии игры.
- 3.Закиньте его в папку mods, которая расположена в папке с игрой.
Скачать В версии Java обнаружена уязвимость безопасности. для Minecraft:
Будьте первым, кто оставит свое мнение!