Эксплойт Apache Log4j может повлиять на Minecraft: Java Edition, Amazon, Twitter и многие другие, но его можно устранить.
Обнаружена далеко идущая уязвимость безопасности нулевого дня, которая может позволить удаленное выполнение кода на сервере злоумышленниками и повлиять на множество онлайн-приложений, включая Minecraft: Java Edition, Steam, Twitter и многие другие, если оставить их без внимания.
Эксплойт идентифицирован как CVE-2021-44228, который отмечен как 9.8 по шкале серьезности (Red Hat), но он достаточно свежий, поэтому все еще ожидает анализа NVD. Она находится в широко используемой Java-библиотеке протоколирования Apache Log4j, и ее опасность заключается в том, как она позволяет пользователю запускать код на сервере — потенциально захватывая полный контроль без надлежащего доступа или полномочий — с помощью сообщений журнала.
«Злоумышленник, который может контролировать сообщения журнала или параметры сообщений журнала, может выполнить произвольный код, загруженный с LDAP-серверов, если включена подстановка поиска сообщений», — говорится в описании (CVE ID).
Эта проблема может затронуть Minecraft: Java Edition, Tencent, Apple, Twitter, Amazon и многих других поставщиков онлайн-услуг. Это связано с тем, что хотя Java уже не так распространена среди пользователей, она все еще широко используется в корпоративных приложениях. К счастью, Valve заявила, что проблема не затронула Steam.
«Мы немедленно проверили наши сервисы, использующие log4j, и убедились, что наши правила сетевой безопасности блокируют загрузку и выполнение недоверенного кода», — сообщил PC Gamer представитель Valve. «Мы не считаем, что существует какой-либо риск для Steam, связанный с этой уязвимостью».
Что касается исправления, то, к счастью, есть несколько вариантов. Сообщается, что проблема затрагивает версии log4j от 2.0 до 2.14.1. Обновление до Apache Log4j версии 2.15 является наилучшим способом устранения проблемы, как указано на странице уязвимости безопасности Apache Log4j. Хотя пользователи более старых версий могут также снизить риск, установив системное свойство «log4j2.formatMsgNoLookups» в значение «true» или удалив класс JndiLookup из пути класса.
Если вы используете сервер с Apache, например, свой собственный Java-сервер Minecraft, вам следует немедленно обновить его до новой версии или внести исправления в старую версию, как указано выше, чтобы обеспечить защиту вашего сервера. Кроме того, компания Mojang выпустила патч для защиты игровых клиентов пользователей, и более подробную информацию можно найти (здесь).
Безопасность игроков является для нас главным приоритетом. К сожалению, ранее сегодня мы обнаружили уязвимость в безопасности Minecraft: Java Edition.
Проблема исправлена, но, пожалуйста, выполните следующие действия, чтобы защитить свой игровой клиент и/или серверы. Please RT to amplify.https://t.co/4Ji8nsvpHf
— Minecraft (@Minecraft) December 10, 2021
В долгосрочной перспективе опасения заключаются в том, что, хотя знающие люди сейчас устранят потенциально опасный недостаток, в неведении останется еще много людей, которые этого не сделают и могут оставить недостаток незапатченным на длительный период времени.
Многие, включая CERT NZ, уже опасаются, что уязвимость уже используется. Поэтому многие корпоративные и облачные пользователи, вероятно, поспешат как можно быстрее устранить последствия.
«Из-за простоты эксплуатации и широты применения мы подозреваем, что разработчики программ-выкупов начнут использовать эту уязвимость немедленно», — говорится в сообщении компании Randori (blog post) об уязвимости.
