Експлойтът Apache Log4j може да окаже въздействие върху Minecraft: Java Edition, Amazon, Twitter и много други, но може да бъде смекчен.
Открита е широкообхватна уязвимост в сигурността от нулев ден, която може да позволи отдалечено изпълнение на код от недоброжелатели на сървър и която може да засегне купища онлайн приложения, включително Minecraft: Java Edition, Steam, Twitter и много други, ако не бъдат проверени.
Пробивът се идентифицира като CVE-2021-44228, който е оценен като 9,8 по скалата за сериозност от (Red Hat), но е достатъчно пресен, за да се очаква все още анализ от NVD. Той се намира в широко използваната библиотека за регистриране на данни Apache Log4j, базирана на Java, и опасността се крие в начина, по който позволява на потребителя да изпълнява код на сървъра – потенциално поемане на пълен контрол без подходящ достъп или правомощия, чрез използване на съобщения от регистри.
„Атакуващ, който може да контролира съобщенията в дневника или параметрите на съобщенията в дневника, може да изпълни произволен код, зареден от LDAP сървъри, когато е разрешено заместването на търсенето на съобщения“, се казва в (CVE ID описание).
Проблемът може да засегне Minecraft: Java Edition, Tencent, Apple, Twitter, Amazon и много други доставчици на онлайн услуги. Това е така, защото макар Java вече да не е толкова разпространена за потребителите, тя все още се използва широко в корпоративните приложения. За щастие Valve заяви, че Steam не е засегната от проблема.
„Незабавно прегледахме нашите услуги, които използват log4j, и проверихме дали нашите правила за мрежова сигурност блокират изтеглянето и изпълнението на ненадежден код“, заяви представител на Valve пред PC Gamer. „Не смятаме, че има някакви рискове за Steam, свързани с тази уязвимост.“
Що се отнася до поправката, за щастие има няколко възможности. Съобщава се, че проблемът засяга версии на log4j между 2.0 и 2.14.1. Актуализирането до версия 2.15 на Apache Log4j е най-добрият начин на действие за ограничаване на проблема, както е описано на страницата за уязвимости в сигурността на Apache Log4j. Въпреки че потребителите на по-стари версии също могат да бъдат предпазени чрез задаване на системното свойство „log4j2.formatMsgNoLookups“ на „true“ или чрез премахване на класа JndiLookup от пътя на класа.
Ако използвате сървър, използващ Apache, като например собствения си Minecraft Java сървър, ще искате незабавно да преминете към по-новата версия или да поправите по-старата си версия, както е посочено по-горе, за да сте сигурни, че сървърът ви е защитен. По подобен начин Mojang пусна кръпка за защита на игровите клиенти на потребителите, а допълнителна информация можете да намерите ( тук).
Безпокойството на играчите е основен приоритет за нас. За съжаление по-рано днес установихме уязвимост в сигурността на Minecraft: Java Edition.
Проблемът е отстранен, но моля, следвайте следните стъпки, за да защитите своя клиент и/или сървъри на играта. Please RT to amplify.https://t.co/4Ji8nsvpHf
– Minecraft (@Minecraft) December 10, 2021
Дългосрочните опасения са, че докато знаещите сега ще смекчат потенциално опасния недостатък, ще има много други, които ще останат в неведение и може да оставят недостатъка непоправен за дълъг период от време.
Мнозина вече се опасяват, че уязвимостта вече се експлоатира, включително CERT NZ. Поради това много корпоративни потребители и потребители на облачни услуги вероятно ще побързат да закърпят въздействието възможно най-бързо.
„Поради лекотата на експлоатация и широкия обхват на приложимост подозираме, че участниците в ransomware ще започнат да използват тази уязвимост незабавно“, казва фирмата за сигурност Randori в (blog post) относно уязвимостта.
