TheAndrey 16208 Опубликовано: 10 декабря 2021 В популярной библиотеке для ведения логов Apache Log4j была обнаружена критическая уязвимость, позволяющая легко и просто запустить выполнение любого кода удалённо. Для использования уязвимости достаточно всего лишь вывести в лог сообщение определённого формата, после чего начнётся скачивание и выполнение произвольного кода. Данная библиотека также используется в Minecraft с версии 1.7, старые версии используют стандартный JUL (java.util.logging), не имеющий всяких «фич». Поскольку фиксация пользовательского ввода (сообщения, адреса страниц) является стандартным сценарием использования логов, воспользоваться уязвимостью не составляет вообще никакого труда. В случае Minecraft достаточно отправить специальное сообщение и эксплоит активируется у всех игроков и на стороне сервера, что позволяет взломать как сам сервер, так и компьютеры игроков . Проблема получила все 10 баллов из возможных 10-ти. Уязвимым оказался компонент JNDI позволяющий загружать и исполнять удалённый код. Самим Minecraft он не используется. В наше «небезопасное» время когда SSL стал повсеместным, очень много вопросов вызывает существование данной функциональности На наших игровых клиентах и серверах библиотека уже обновлена – уязвимый компонент из неё убран. Тем не менее, вам следует быть внимательным при игре на других сборках и лаунчерах. Cледует воздержаться от игры на сборках, где ещё не установлено исправление. Mojang уже выпустили обновление: https://www.minecraft.net/en-us/article/important-message--security-vulnerability-java-edition Варианты исправления: Следует удалить файл org/apache/logging/log4j/core/lookup/JndiLookup.class из архива log4j-core.jar. Если он отсутствует - возможно, у вас уже версия с «фиксом». Вариант перепаковки с помощью терминала: zip -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class 3 2 3 Поделиться сообщением Ссылка на сообщение
BlackSun 4272 Опубликовано: 10 декабря 2021 (изменено) Весёлые времена настали, учитывая распространенность этой библиотеки. Большинство более-менее приличных жаба-программ её юзают. https://github.com/tangxiaofeng7/apache-log4j-poc https://github.com/YfryTchsGD/Log4jAttackSurface Подробности, как это работает, на буржуйском: https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-44228/ Изменено 10 декабря 2021 пользователем BlackSun Поделиться сообщением Ссылка на сообщение
TheAndrey 16208 Опубликовано: 11 декабря 2021 20 минут назад, BlackSun сказал: Весёлые времена настали, учитывая распространенность этой библиотеки. Большие вопросы вызывает наличие возможности загружать код из сети в Java, в то время как весь нормальный софт перекидывается только данным, что исключает уязвимости данного рода. Подгорело знатно у всех Вполне можно ждать выхода обновления Java в котором эти «энтерпрайз-фичи» поотключают. Слишком много бед от них. Поделиться сообщением Ссылка на сообщение
afkaaaa 40 Опубликовано: 15 декабря 2021 Читерить теперь нельзя?(( 1 2 1 3 Поделиться сообщением Ссылка на сообщение
TheAndrey 16208 Опубликовано: 15 декабря 2021 1 час назад, afkaaaa сказал: Читерить теперь нельзя?(( Когда словишь очередной шифровальщик фалов, будет тебе весело. 1 1 1 Поделиться сообщением Ссылка на сообщение