Обнаружена далеко идущая уязвимость системы безопасности нулевого дня, которая может позволить удаленное выполнение кода злоумышленниками на сервере и которая может повлиять на множество онлайн-приложений, в том числе Minecraft: Java Edition, Steam, Twitter и многие другие, если не отмечены.
Идентификатор эксплойта – CVE-2021-44228, который Red Hat отмечен как 9,8 по шкале серьезности, но достаточно свежий и все еще ожидает анализа NVD. Он находится в широко используемой библиотеке ведения журналов на основе Java Apache Log4j, и опасность заключается в том, как он позволяет пользователю запускать код на сервере, потенциально принимая на себя полный контроль без надлежащего доступа или полномочий посредством использования сообщений журнала.
«Злоумышленник, который может управлять сообщениями журнала или параметрами сообщений журнала, может выполнить произвольный код, загруженный с серверов LDAP, когда включена подстановка поиска сообщений», – говорится в описании идентификатора CVE.
Проблема может повлиять Minecraft: Java Edition, Tencent, Apple, Twitter, Amazon и многие другие поставщики онлайн-услуг. Это потому, что, хотя Java уже не так распространена среди пользователей, она по-прежнему широко используется в корпоративных приложениях. К счастью, Valve заявили, что эта проблема не касается Steam.
«Мы немедленно проверили наши сервисы, использующие log4j, и убедились, что наши правила сетевой безопасности блокируют загрузку и выполнение ненадежного кода», – сказал PC Gamer представитель Valve. «Мы не считаем, что эта уязвимость связана с какими-либо рисками для Steam».
Что касается исправления, к счастью, есть несколько вариантов. Сообщается, что проблема затрагивает версии log4j от 2.0 до 2.14.1. Обновление до Apache Log4j версии 2.15 – лучший способ решения проблемы, как указано на странице уязвимости системы безопасности Apache Log4j. Хотя пользователи более старых версий также могут быть смягчены, установив для системного свойства log4j2.formatMsgNoLookups значение «true» или удалив класс JndiLookup из пути к классам.
Если вы используете сервер с Apache, например, ваш собственный Minecraft Сервер Java, вы захотите немедленно обновить его до более новой версии или исправить старую версию, как указано выше, чтобы обеспечить защиту вашего сервера. Точно так же Mojang выпустила патч для защиты игровых клиентов пользователей, дополнительные подробности можно найти здесь.
Безопасность игроков – наш главный приоритет. К сожалению, сегодня мы обнаружили уязвимость в системе безопасности. Minecraft: Java Edition. Проблема исправлена, но, пожалуйста, выполните следующие действия, чтобы защитить свой игровой клиент и / или серверы. Пожалуйста, RT для уточнения. Https://t.co/4Ji8nsvpHf10 декабря 2021 г.
Долгосрочные опасения заключаются в том, что, хотя осведомленные лица теперь устранят потенциально опасный недостаток, в темноте останется еще много тех, кто этого не сделает и может оставить недостаток не исправленным на длительный период времени.
Многие уже опасаются, что уязвимость уже используется, в том числе CERT NZ. Таким образом, многие корпоративные и облачные пользователи, скорее всего, поспешат исправить последствия как можно быстрее.
«Из-за простоты использования и широты применения мы подозреваем, что злоумышленники немедленно начнут использовать эту уязвимость», – говорит охранная компания Randori. в сообщении в блоге об уязвимости.
