Exploit Apache Log4j může mít dopad na Minecraft: Java Edition, Amazon, Twitter a mnoho dalších, ale lze jej zmírnit.
Byla objevena rozsáhlá bezpečnostní chyba nultého dne, která může umožnit vzdálené spuštění kódu na serveru nekalými subjekty a která může mít dopad na hromady online aplikací, včetně Minecraftu: Java Edition, Steam, Twitter a mnoho dalších, pokud by nebyly zkontrolovány.
Zneužití je identifikováno jako CVE-2021-44228, které je na stupnici závažnosti označeno jako 9,8 (Red Hat), ale je natolik čerstvé, že se stále čeká na analýzu NVD. Nachází se v široce používané knihovně pro protokolování Apache Log4j založené na Javě a nebezpečí spočívá v tom, jak umožňuje uživateli spouštět kód na serveru – potenciálně převzít úplnou kontrolu bez řádného přístupu nebo oprávnění, a to pomocí zpráv protokolu.
„Útočník, který může ovládat zprávy protokolu nebo parametry zpráv protokolu, může spustit libovolný kód načtený ze serverů LDAP, když je povoleno nahrazování vyhledávání zpráv,“ uvádí se v (CVE ID popisu).
Problém může ovlivnit Minecraft: Java Edition, Tencent, Apple, Twitter, Amazon a mnoho dalších poskytovatelů online služeb. Je to proto, že ačkoli Java již není pro uživatele tak běžná, stále se hojně používá v podnikových aplikacích. Společnost Valve naštěstí uvedla, že služba Steam není tímto problémem ovlivněna.
„Okamžitě jsme zkontrolovali naše služby, které používají log4j, a ověřili jsme, že naše pravidla zabezpečení sítě blokují stahování a spouštění nedůvěryhodného kódu,“ řekl zástupce společnosti Valve serveru PC Gamer. „Nedomníváme se, že by s touto zranitelností byla spojena jakákoli rizika pro službu Steam.“
Co se týče opravy, existuje naštěstí několik možností. Problém se údajně týká verzí log4j mezi 2.0 a 2.14.1. Nejlepším postupem ke zmírnění problému je aktualizace na verzi 2.15 aplikace Apache Log4j, jak je uvedeno na stránce o bezpečnostních zranitelnostech aplikace Apache Log4j. Uživatelé starších verzí však mohou situaci zmírnit také nastavením systémové vlastnosti „log4j2.formatMsgNoLookups“ na hodnotu „true“ nebo odstraněním třídy JndiLookup z cesty tříd.
Pokud provozujete server používající Apache, například vlastní Minecraft Java server, budete chtít okamžitě přejít na novější verzi nebo opravit starší verzi, jak je uvedeno výše, abyste zajistili ochranu svého serveru. Podobně společnost Mojang vydala záplatu pro zabezpečení herních klientů uživatelů a další podrobnosti najdete (zde).
Bezpečnost hráčů je pro nás nejvyšší prioritou. Dnes jsme bohužel identifikovali bezpečnostní zranitelnost ve hře Minecraft: Java Edition.
Problém je již opraven, ale pro zabezpečení herního klienta a/nebo serverů postupujte podle následujících kroků. Prosíme, přetiskněte (RT) pro rozšíření. https://t.co/4Ji8nsvpHf
– Minecraft (@Minecraft) December 10 2021
Dlouhodobě se obáváme, že zatímco ti, kteří vědí, nyní potenciálně nebezpečnou chybu zmírní, zůstane mnoho dalších, kteří to neudělají a mohou nechat chybu dlouho neopravenou.
Mnozí včetně CERT NZ se již obávají, že zranitelnost je již zneužívána. Mnoho podnikových a cloudových uživatelů proto bude pravděpodobně spěchat s co nejrychlejším záplatováním dopadu.
„Vzhledem ke snadnosti zneužití a šíři použitelnosti předpokládáme, že aktéři ransomwaru začnou tuto zranitelnost využívat okamžitě,“ uvádí bezpečnostní firma Randori v (blogovém příspěvku) o zranitelnosti.