Перейти к публикации
TheAndrey

Критическая уязвимость в log4j2

Рекомендованные сообщения

В популярной библиотеке для ведения логов Apache Log4j была обнаружена критическая уязвимость, позволяющая легко и просто запустить выполнение любого кода удалённо. Для использования уязвимости достаточно всего лишь вывести в лог сообщение определённого формата, после чего начнётся скачивание и выполнение произвольного кода. Данная библиотека также используется в Minecraft с версии 1.7, старые версии используют стандартный JUL (java.util.logging), не имеющий всяких «фич».

Поскольку фиксация пользовательского ввода (сообщения, адреса страниц) является стандартным сценарием использования логов, воспользоваться уязвимостью не составляет вообще никакого труда. В случае Minecraft достаточно отправить специальное сообщение и эксплоит активируется у всех игроков и на стороне сервера, что позволяет взломать как сам сервер, так и компьютеры игроков 😱. Проблема получила все 10 баллов из возможных 10-ти.

Уязвимым оказался компонент JNDI позволяющий загружать и исполнять удалённый код. Самим Minecraft он не используется. В наше «небезопасное» время когда SSL стал повсеместным, очень много вопросов вызывает существование данной функциональности 🤔

На наших игровых клиентах и серверах библиотека уже обновлена – уязвимый компонент из неё убран. Тем не менее, ⚠️ вам следует быть внимательным при игре на других сборках и лаунчерах. Cледует воздержаться от игры на сборках, где ещё не установлено исправление.

Mojang уже выпустили обновление: https://www.minecraft.net/en-us/article/important-message--security-vulnerability-java-edition

 

Варианты исправления:

  • Следует удалить файл org/apache/logging/log4j/core/lookup/JndiLookup.class из архива log4j-core.jar. Если он отсутствует - возможно, у вас уже версия с «фиксом».
  • Вариант перепаковки с помощью терминала: zip -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  • Нравится 3
  • WOW! 2
  • Одобряю 3

Поделиться сообщением


Ссылка на сообщение

Весёлые времена настали, учитывая распространенность этой библиотеки. Большинство более-менее приличных жаба-программ её юзают.

Todo.jpg.e53a69bbb767cd39582d830c7938f1a4.jpg

https://github.com/tangxiaofeng7/apache-log4j-poc

https://github.com/YfryTchsGD/Log4jAttackSurface

Подробности, как это работает, на буржуйском:

https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-44228/

Изменено пользователем BlackSun

nodes.gif.707c73bf76fe5592b4e154b63d92771b.gif

Поделиться сообщением


Ссылка на сообщение
20 минут назад, BlackSun сказал:

Весёлые времена настали, учитывая распространенность этой библиотеки.

Большие вопросы вызывает наличие возможности загружать код из сети в Java, в то время как весь нормальный софт перекидывается только данным, что исключает уязвимости данного рода. Подгорело знатно у всех 🤬 Вполне можно ждать выхода обновления Java в котором эти «энтерпрайз-фичи» поотключают. Слишком много бед от них.

Поделиться сообщением


Ссылка на сообщение
1 час назад, afkaaaa сказал:

Читерить теперь нельзя?((

Когда словишь очередной шифровальщик фалов, будет тебе весело.

  • Хаха 1
  • Печаль 1
  • Одобряю 1

Поделиться сообщением


Ссылка на сообщение
Гость
Эта тема закрыта для публикации сообщений.

×
×
  • Создать...