Apache Log4j漏洞可能影响Minecraft: Java版、亚马逊、Twitter等,但可以得到缓解。
一个影响深远的零日安全漏洞被发现,可能允许邪恶的行为者在服务器上执行远程代码,这可能会影响大量的在线应用程序,包括Minecraft。Java版、Steam、Twitter等等,如果不加以检查的话。
该漏洞被称为CVE-2021-44228,在严重程度上被(Red Hat)标记为9.8,但由于它很新,仍在等待NVD的分析。它位于广泛使用的基于Java的Apache Log4j日志库中,其危险性在于它如何使用户在服务器上运行代码–通过使用日志信息,在没有适当的访问或授权的情况下,有可能完全接管控制权。
“能够控制日志信息或日志信息参数的攻击者可以执行从LDAP服务器加载的任意代码,当信息查找替换被启用时,”(CVE ID描述指出)。
该问题可能影响到Minecraft。Java版、腾讯、苹果、Twitter、亚马逊以及更多的在线服务提供商。这是因为虽然Java对用户来说已经不那么常见了,但它在企业应用中仍然被广泛使用。幸运的是,Valve表示,Steam没有受到这个问题的影响。
“我们立即审查了我们使用log4j的服务,并验证了我们的网络安全规则阻止了下载和执行不受信任的代码,”一位Valve代表告诉PC Gamer。”我们不认为这个漏洞对Steam有任何风险”。
至于修复方法,幸好有几个选择。据报道,这个问题影响到2.0和2.14.1之间的log4j版本。升级到Apache Log4j 2.15版本是缓解该问题的最佳行动方案,正如Apache Log4j安全漏洞页面上所概述的那样。不过,旧版本的用户也可以通过设置系统属性 “log4j2.formatMsgNoLookups “为 “true “或从classpath中删除JndiLookup类来缓解。
如果你正在运行一个使用Apache的服务器,比如你自己的Minecraft Java服务器,你会想立即升级到较新的版本,或者像上面那样给你的旧版本打补丁,以确保你的服务器得到保护。同样,Mojang已经发布了一个补丁来保护用户的游戏客户端,进一步的细节可以找到(here).
玩家的安全是我们的首要任务。不幸的是,今天早些时候,我们在Minecraft中发现了一个安全漏洞。Java版的安全漏洞。
该问题已被修补,但请遵循这些步骤来保护你的游戏客户端和/或服务器。Please RT to amplify.https://t.co/4Ji8nsvpHf
– Minecraft (@Minecraft) December 10, 2021
长期的担心是,虽然那些知情者现在会缓解这个潜在的危险漏洞,但会有更多的人被蒙在鼓里,他们不会,可能会让这个漏洞在很长一段时间内得不到修补。
许多人已经担心这个漏洞已经被利用了,包括CERT NZ。因此,许多企业和云计算用户可能会急于尽快修补出影响。
“安全公司Randori在一份(微博)关于该漏洞的文章中说:”由于利用的简易性和适用性的广泛性,我们怀疑勒索软件的行为者会立即开始利用这个漏洞,
。
