Перейти к публикации
Andrey

Критическая уязвимость в log4j2

Рекомендованные сообщения

Andrey

В популярной библиотеке для ведения логов Apache Log4j была обнаружена критическая уязвимость, позволяющая легко и просто запустить выполнение любого кода удалённо. Для использования уязвимости достаточно всего лишь вывести в лог сообщение определённого формата, после чего начнётся скачивание и выполнение произвольного кода. Данная библиотека также используется в Minecraft с версии 1.7, старые версии используют стандартный JUL (java.util.logging), не имеющий всяких «фич».

Поскольку фиксация пользовательского ввода (сообщения, адреса страниц) является стандартным сценарием использования логов, воспользоваться уязвимостью не составляет вообще никакого труда. В случае Minecraft достаточно отправить специальное сообщение и эксплоит активируется у всех игроков и на стороне сервера, что позволяет взломать как сам сервер, так и компьютеры игроков 😱. Проблема получила все 10 баллов из возможных 10-ти.

Уязвимым оказался компонент JNDI позволяющий загружать и исполнять удалённый код. Самим Minecraft он не используется. В наше «небезопасное» время когда SSL стал повсеместным, очень много вопросов вызывает существование данной функциональности 🤔

На наших игровых клиентах и серверах библиотека уже обновлена – уязвимый компонент из неё убран. Тем не менее, ⚠️ вам следует быть внимательным при игре на других сборках и лаунчерах. Cледует воздержаться от игры на сборках, где ещё не установлено исправление.

Mojang уже выпустили обновление: https://www.minecraft.net/en-us/article/important-message--security-vulnerability-java-edition

 

Варианты исправления:

  • Следует удалить файл org/apache/logging/log4j/core/lookup/JndiLookup.class из архива log4j-core.jar. Если он отсутствует - возможно, у вас уже версия с «фиксом».
  • Вариант перепаковки с помощью терминала: zip -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  • Нравится 4
  • WOW! 2
  • Одобряю 3

Приходи играть на Modern ⛏️⚙️🚇

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
BlackSun

Весёлые времена настали, учитывая распространенность этой библиотеки. Большинство более-менее приличных жаба-программ её юзают.

Todo.jpg.e53a69bbb767cd39582d830c7938f1a4.jpg

https://github.com/tangxiaofeng7/apache-log4j-poc

https://github.com/YfryTchsGD/Log4jAttackSurface

Подробности, как это работает, на буржуйском:

https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-44228/

Изменено пользователем BlackSun

nodes.gif.707c73bf76fe5592b4e154b63d92771b.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Andrey
20 минут назад, BlackSun сказал:

Весёлые времена настали, учитывая распространенность этой библиотеки.

Большие вопросы вызывает наличие возможности загружать код из сети в Java, в то время как весь нормальный софт перекидывается только данным, что исключает уязвимости данного рода. Подгорело знатно у всех 🤬 Вполне можно ждать выхода обновления Java в котором эти «энтерпрайз-фичи» поотключают. Слишком много бед от них.


Приходи играть на Modern ⛏️⚙️🚇

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
BuLdozerist

Читерить теперь нельзя?((

  • Хаха 1
  • Смущение 2
  • WOW! 1
  • Против 3

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Andrey
1 час назад, afkaaaa сказал:

Читерить теперь нельзя?((

Когда словишь очередной шифровальщик фалов, будет тебе весело.

  • Хаха 1
  • Печаль 1
  • Одобряю 1

Приходи играть на Modern ⛏️⚙️🚇

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

×
×
  • Создать...