Эксплойт Apache Log4j может повлиять на Minecraft: Java Edition, Steam, Amazon, Twitter и многие другие, но его можно смягчить.
Обнаружена далеко идущая уязвимость системы безопасности нулевого дня, которая может позволить удаленное выполнение кода злоумышленниками на сервере и которая может повлиять на кучу онлайн-приложений, включая Minecraft: Java Edition, Steam, Twitter и многие другие, если ее оставить не отмечен.
Идентификатор эксплойта — CVE-2021-44228, который Red Hat отмечен как 9,8 по шкале серьезности, но достаточно свежий и все еще ожидает анализа NVD. Он находится в широко используемой библиотеке ведения журналов на основе Java Apache Log4j, и опасность заключается в том, как он позволяет пользователю запускать код на сервере, потенциально принимая на себя полный контроль без надлежащего доступа или полномочий посредством использования сообщений журнала.
«Злоумышленник, который может управлять сообщениями журнала или параметрами сообщений журнала, может выполнить произвольный код, загруженный с серверов LDAP, когда включена подстановка поиска сообщений», — говорится в описании идентификатора CVE.
Проблема может затронуть Minecraft: Java Edition, Steam, Tencent, Apple, Twitter, Amazon и многих других поставщиков онлайн-услуг. Это потому, что, хотя Java уже не так распространена среди пользователей, она по-прежнему широко используется в корпоративных приложениях.
Что касается исправления, к счастью, есть несколько вариантов. Сообщается, что проблема затрагивает версии log4j от 2.0 до 2.14.1. Обновление до Apache Log4j версии 2.15 — лучший способ решения проблемы, как указано на странице уязвимости системы безопасности Apache Log4j. Хотя пользователи более старых версий также могут быть смягчены, установив для системного свойства log4j2.formatMsgNoLookups значение «true» или удалив класс JndiLookup из пути к классам.
Если вы используете сервер, использующий Apache, например, ваш собственный Java-сервер Minecraft, вы захотите немедленно перейти на более новую версию или исправить старую версию, как указано выше, чтобы обеспечить защиту вашего сервера. Точно так же Mojang выпустила патч для защиты игровых клиентов пользователей, дополнительные подробности можно найти здесь.
Долгосрочные опасения заключаются в том, что, хотя осведомленные лица теперь устранят потенциально опасный недостаток, в темноте останется еще много тех, кто этого не сделает и может оставить недостаток не исправленным на длительный период времени.
Многие уже опасаются, что уязвимость уже используется, в том числе CERT NZ. Таким образом, многие корпоративные и облачные пользователи, скорее всего, поспешат исправить последствия как можно быстрее.
«Из-за простоты использования и широты применимости мы подозреваем, что злоумышленники немедленно начнут использовать эту уязвимость», — говорится в сообщении об уязвимости в блоге охранной фирмы Randori.
Комментарии: