2021. december 9-én egy exploitot találtak a Minecraft szerver jar által használt egyik naplózó könyvtárban. Ez egy RCE (Remote Code Execution) sebezhetőség, ezért súlyosnak minősül, és mindenkinek ajánlott a lehető leghamarabb frissíteni.
A kihasználás javítását a Paper számára a PaperMC csapata adta ki, majd ezt követően a Paper különböző forkjai egyesítették. Más kiszolgáló jarok is kiadták a javítást implementáló buildeket.
2021. december 10-én a Mojang kiadta az exploit javítását a Minecraft klienseken, valamint a Minecraft szerverek régebbi verzióin való javítás lépései. Kövesse az alábbiakban ismertetett lépéseket az exploit javításához.
A kliensek is sebezhetőek voltak ezzel az exploittal szemben, de a Mojang már kiadott egy javítást, amely minden Minecraft verzióra vonatkozik - Csak be kell zárni a játék és a Minecraft indítóprogram összes futó példányát, és újra kell indítani a lancher-t - A javított verzió automatikusan letöltődik.
Nem ajánlott olyan szervereken játszani, amelyek nem frissültek a Minecraft legújabb verziójára, mivel ezek sebezhetőek lehetnek az exploitra. Ez kritikus a moddolt kliensek számára, amelyek nem kapták meg a Mojang által kiadott javítást. Tehát győződj meg róla, hogy te is frissíted a kattintásodat, és ellenőrizd velük, hogy kiadták-e a javítást az exploitra.
Ezt a dokumentumot azért hoztuk létre, hogy végigvezessük az exploit javításának lépésein. Javasoljuk, hogy alkalmazd a zászlót, ha szükséges a Minecraft verziódhoz, és frissítsd a szerver jar-t a legújabb elérhető buildre, győződj meg róla, hogy ez a build tartalmazza az exploit javítását (a changelogban ezt kell írnia). Mindkét dolog elvégzésének lépései az alábbiakban vannak felsorolva.
Ha segítségre van szüksége mindezek elvégzéséhez, kérjük, keresse fel a #support-chat csatornánkat a következő oldalon Discord szerverünkön.
Ha a szervered fut:
Forge szerverek
A Forge egy átfogó cikket tett közzé, amelyben részletesen leírja az exploit javításának lépéseit, akár a legújabb buildre való frissítéssel, akár egy flag alkalmazásával. Bővebben itt olvashatsz.
1.18-as szerverek (Vanilla, Spigot, Paper, Purpur és egyéb forks)
1.18: Ha lehetséges, frissíts az 1.18.1-es verzióra. Ha nem, használd ugyanazt a megközelítést, mint az 1.17.x esetében:
Link a PaperMC 1.18.1 .jar-ra az exploit javításával:
Paper 1.18.1 - Válassza ki a legújabb buildet a weboldalon, és töltse le: PaperMC 1.18.1 Builds
1.17 - 1.17.1 szerverek
A javítást már alkalmaztuk az összes 1.17-es verziót futtató szerverre. Továbbra is javasoljuk, hogy frissítsen az 1.17.1 vagy az 1.18.1 utolsó buildjére.
Linkek a PaperMC 1.17.1 jar-ekhez, amelyek tartalmazzák az exploit javítását:
Paper 1.17.1 - Válassza ki a legfrissebb buildet a weboldalon, és töltse le: A PaperMC 1.17.1 Builds
Ha a fent felsorolt buildek egyikére frissítesz, nem kell alkalmaznod az alábbiakban felsorolt flag javítást.
Ha mégis alkalmazni szeretné a javítást, kövesse az alábbi lépéseket:
A Mojang azt ajánlotta, hogy a -Dlog4j2.formatMsgNoLookups=true zászlót add hozzá az indítási parancsodhoz. 2021. december 9-én a Godlike.host csapat hozzáadta ezt a zászlót az összes Minecraft szerverhez, így már csak arról kell gondoskodnod, hogy ez a zászló szerepeljen az indítási parancsodban. Továbbá, győződj meg róla, hogy újraindítottad a szerveredet, ha nem tetted meg mostanában, mivel a szerver újraindítása a zászlót az indításkor alkalmazza. Annak ellenőrzéséhez, hogy megvan-e a zászló, csak menj a Minecraft panelre, majd menj az indítás fülre, és győződj meg róla, hogy a zászló szerepel az indítási parancsban, a -jar szöveg előtt kell lennie. Ajánlott továbbá frissíteni a szerver jar által biztosított legújabb, 1.17.1-es buildre. A Paper, a Fabric és más szerver jar-ok kiadták az 1.17.1-es buildet, amely tartalmazza az exploit javítást. További információkért olvassa el a dokumentum végén található frissítésre vonatkozó részt.
1.12 - 1.16.5 szerverek
A PaperMC kiadta az exploit javítását tartalmazó jarokat. Ezek a jar-ok nem a weboldalukon vannak, itt vannak a közvetlen linkek hozzájuk (A szerver típusválasztónkban is megtalálod a beállítások fülön):
A PaperMC hivatalos nyilatkozata: Minden régi build nem támogatott. Egyes szervereken előfordulhatnak konzol- vagy egyéb problémák. Letöltés és használat saját felelősségre. Legacy build linkek:
Ha a fent felsorolt buildek valamelyikére frissítesz, nem kell alkalmaznod az alábbiakban felsorolt zászlójavítást.
Ha mégis alkalmazni szeretné a javítást, kövesse az alábbi lépéseket:
Ha a javítás alkalmazása után valamilyen oknál fogva nem indul el a szerver, vagy ha el szeretné távolítani a javítást, kattintson az Eltávolítás gombra.
Ha bármilyen okból ezt manuálisan kell megtennie, kövesse az alábbi lépéseket:
Töltse le ezt a fájlt abba az otthoni könyvtárba, ahol a kiszolgálója fut. Ehhez menjen az URL címre, és a böngészőben megnyílik egy .xml fájl, jobb egérgombbal kell kattintania, majd kattintson a 'Save as' (Mentés másként) gombra, majd mentse el az .xml fájlt. A Minecraft panelen található Fájlkezelőre is átmehetsz, kattints a Letöltés URL-ről gombra, és illeszd be a következő URL-t: https://launcher.mojang.com/v1/objects/02937d122c86ce73319ef9975b58896fc1b491d1/log4j2_112-116.xml, és ez letölti a fájlt a szervered home könyvtárába. Miután a fájl a szerveren van, menjünk a Minecraft panel indítás lapjára, és adjuk hozzá a következő JVM argumentumokat az indítási zászlókhoz. Ehhez csak lépjen az indítás lapra, és adja hozzá a következő JVM argumentumokat az indítási zászlók mezőhöz: -Dlog4j.configurationFile=log4j2_112-116.xml. Miután hozzáadta a JVM argumentumokat, indítsa újra a kiszolgálót. Javasoljuk továbbá, hogy frissítse a szerver jar által biztosított legújabb buildre. A legtöbb fejlesztő kifejezte azon szándékát, hogy nem frissíti a legrégebbi verziók szerver jarját, hogy az tartalmazza a hibajavítást, de a Paper már kiadott egy új buildet az 1.16.5-ről (Build #792), amely tartalmazza a hibajavítást. További információkért olvassa el a dokumentum végén található frissítésre vonatkozó részt.
1.7 - 1.11.2 szerverek
A PaperMC kiadta az exploit javításával ellátott jarokat. Ezek a jar-ek nem a weboldalukon találhatók, de itt vannak a közvetlen linkek hozzájuk (A szervertípus-választónkban is megtalálod a beállítások fülön)
A PaperMC hivatalos nyilatkozata: Minden régi build nem támogatott. Egyes szervereken előfordulhatnak konzol- vagy egyéb problémák. Letöltés és használat saját felelősségre. Legacy build linkek:
Ha a fent felsorolt buildek valamelyikére frissítesz, nem kell alkalmaznod az alábbiakban felsorolt zászlójavítást.
Ha mégis alkalmazni szeretnéd (tesztünk alapján ez a zászló nem működik a Paper 1.7 - 1.11.2 verziójú papírokkal, és a szervered nem fog elindulni, ha használod őket), akkor kövesd a következő lépéseket:
Töltsd le ezt a fájlt a home könyvtárba, ahol a szervered fut. Ehhez menj az URL-re, és a böngésződben megnyílik egy .xml fájl, jobb klikk, majd kattints a 'Save as' (Mentés másként) gombra, majd mentsd el az .xml fájlt. A Minecraft panelen található Fájlkezelőre is átmehetsz, kattints a Letöltés URL-ről gombra, és illeszd be a következő URL-t: https://launcher.mojang.com/v1/objects/dd2b723346a8dcd48e7f4d245f6bf09e98db9696/log4j2_17-111.xml, és ez letölti a fájlt a szervered home könyvtárába. Miután a fájl a szerveren van, menjünk a Minecraft panel indítás lapjára, és adjuk hozzá a következő JVM argumentumokat az indítási zászlókhoz. Ehhez csak lépjen az indítás lapra, és adja hozzá a következő JVM argumentumokat az indítási zászlók mezőhöz: -Dlog4j.configurationFile=log4j2_17-111.xml. Miután hozzáadta a JVM argumentumokat, indítsa újra a kiszolgálót.
1.6 és az alatti szerverek
Az 1.6-os és az alatti verziókat futtató szervereket nem érinti ez az exploit.
A zászló hozzáadása az indítási zászlók részhez
Példa arra, hogyan adhatja hozzá a zászlót az indítási parancshoz (lásd a kiemelt szöveget). Ne feledje, hogy a Minecraft kiszolgáló verziójának megfelelő zászlót kell hozzáadni.
FONTOS
Alapértelmezés szerint ez az opció minden kiszolgálóra be van állítva, és nem biztos, hogy megjelenik az xms és xmx
:white_check_mark: Paper - Letöltés itt - Az exploit javítás az MC 1.18-as verzióhoz a Build #64-es vagy újabb / az MC 1.17.1-es verzióhoz a Build #398-as vagy újabb. A Paper a javítást az MC 1.16.5-re is visszaportálta a Build #792-vel, amely itt található. Az MC 1.17. 1-es verzióhoz a Build #399-es vagy újabb, az MC 1.18-1.18.1-es verzióhoz pedig a Build #67-es vagy újabb Build használatát javasoljuk, ezek a buildek tartalmazzák a frissített Log4J könyvtárat (azt a könyvtárat, amely a régebbi verziókban az exploitot tartalmazta).
Az exploit javítást tartalmazó PaperMC buildek:
Paper 1.18.1 - Válassza ki a legújabb buildet a weboldalon, és töltse le: PaperMC 1.18.1 Builds
:white_check_mark: Purpur - Letöltés itt - Az exploit javítás a Build #1432 vagy újabb Build #1432-ben van az MC 1.18-hoz.
:white_check_mark: Waterfall - Letöltés itt - Az exploit javítás a Build #467 vagy újabb. Javasoljuk a Build #468-as vagy újabb Build használatát, amely egy frissített Log4J könyvtárat tartalmaz (a könyvtár, amely a régebbi verziókban az exploitot tartalmazta).
:white_check_mark: Velocity - Letöltés itt - Az exploit javítás a Build #97 vagy újabb verzióban található. Javasoljuk a Build #98 vagy újabb Build használatát, amely frissített Log4J könyvtárat tartalmaz (azt a könyvtárat, amely a régebbi verziókon az exploitot tartalmazta).
:white_check_mark: Forge - Letöltés itt - A Forge frissítette a legnépszerűbb verziókat az exploit javítás alkalmazásához. A következő Forge verziók (vagy újabb verziók) tartalmazzák az exploit javítást:
A Forge egy átfogó cikket tett közzé, amelyben részletesen leírja az exploit javításának lépéseit, akár a legújabb buildre való frissítéssel, akár a flag alkalmazásával. Bővebben itt olvashat.
Le kell töltened a fenti jar-ok egyikét (győződj meg róla, hogy a javítást tartalmazó buildet töltötted le), futtasd a .jar-t a gépeden, kattints a szerverfájlok létrehozására, majd archiváld/csomagold az összes generált szerverfájlt, és töltsd fel a szerveredre.
A szerverét a szervertípus-választó segítségével is frissítheti. Csak lépjen a szerver beállítások oldalára, majd válassza ki a letölteni kívánt jar-t, és válassza ki a legújabb buildet. Győződjön meg róla, hogy hivatkozik a fent felsorolt build #-re, hogy tudja, hogy a javítást tartalmazó buildet tölti le. Használhatja a Frissítés a legújabb buildre gombot is, ha korábban már használta a szervertípus-választónkat.
Hogyan ellenőrizheti, hogy kiszolgálója sebezhető-e
A PaperMC csapata szerint: Hogy tesztelje, hogy a javítás működik-e, futtassa a say ${date:YYYY} címet a konzolon, ugyanazt a parancsot kell kiadnia, és nem a 2021 címet. Ha a 2021 parancsot adja ki, akkor nem javította megfelelően a problémát.
Ha segítségre van szüksége a szerver frissítéséhez, kérjük, olvassa el a frissítési útmutatót és a #open-ticketet.
Értékelje a cikket egy 5 pontos skálán
Értékelje elsőként ezt a hírt!
Find mistake? Select it and press Ctrl + Enter to let us know.