POPIS:
9.12. 2021 byla objevena bezpečnostní chyba v knihovně log4j a log4j2. Tyto knihovny používá spousta programů v javě a především pak taky minecraft pro logování do souboru.
Nalezená chyba (exploit) umožňuje případnému útočníkovi spustit na minecraft serveru a případně i na všech klientech, kteří jsou na daný server připojení, vzdáleně prakticky jakýkoliv kód.
Chyba je zákeřná především v tom, jak relativně jenoduše zneužitelná je.
ŘEŠENÍ:
Pro různé verze minecraftu je potřeba využít jiné metody jak server zabezpečit, tyto metody jsou univerzální pro jakýkoliv fork (papermc, spigot, forge, vanilla, purpur, apod...)
1.17 a výš
Máte-li na serveru verze minecraftu jakéhokoliv forku 1.17 výš, pak již je Váš server ochráněn. Pro tyto verze stačí do spouštěcích parametrů přidat argument -Dlog4j2.formatMsgNoLookups=true který jsme již během včerejšího rána nastavili na všech serverech. Nemusíte tedy dělat nic, doporučujeme pouze server aktualizovat na nejnovější build.
1.12-1.16.5
Máte-li server na verzi 1.12-1.16.5, je nutno využít parametru -Dlog4j.configurationFile=log4j2_112-116.xml a daný soubor log4j2_112-116.xml nahrát na server.
1.7-1.11.2
Máte-li server na verzi 1.7-1.11.2 je nutno využít parametru -Dlog4j.configurationFile=log4j2_17-111.xml a daný soubor log4j2_17-111.xml nahrát na server.
Výše uvedené můžete nastavit na svém serveru jednoduše ve spouštěcích parametrech (menu Nastavení serveru / Spouštěcí parametry / pole log4j exploit ochrana )
Ostatní verze
Pokud máte server na nižší verzi než 1.7, pak se Vás tato bezpečnostní chyba netýká a můžete být vklidu, nepotřebujete nastavovat nic.
Bungeecord - není touto chybou vůbec ohrožen
Waterfall - aktualizujte na nejnovější verzi
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Zabezpečení konkrétních forků:
PaperMC: v posledních buildech na verzi 1.16.5, 1.17.1 a 1.18+ obsahuje opravu a výše uvedené parametry ani není nutno nastavovat.
Spigot: v posledních buildech na každé verzi od 1.12.2 a výš obsahuje opravu a výše uvedené parametry ani není nutno nastavovat, Aktualizujte.
Zdroj: https://www.minecraft.net/en-us/article ... xt0YI5nZEA
log4j bezpečnostní exploit pro ! Minecraft !
- Austin
- Site Admin
- Příspěvky: 1251
- Věk: 38
- Registrován: 07 pro 2009, 23:58
- Reputation: 4
- Kontaktovat uživatele:
log4j bezpečnostní exploit pro ! Minecraft !
FakaHeda.eu - Administrátor, http://www.minecraft-hosting.cz, http://www.bf3-hosting.cz Pište nám tickety, ne PM.
Nezapomeňte dát karmu těm, kteří Vám pomohli s problémem
Nezapomeňte dát karmu těm, kteří Vám pomohli s problémem
Re: log4j bezpečnostní exploit pro ! Minecraft !
Ďakujeme za info
Re: log4j bezpečnostní exploit pro ! Minecraft !
Doplnění: soubory s opravami ke stažení pro starší verze naleznete v uvedeném zdroji, tedy na stránce:
https://www.minecraft.net/en-us/article ... va-edition
https://www.minecraft.net/en-us/article ... va-edition
Vývojář, streetař a hráč pokeru
Kdo je online
Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 22 hostů