Vad är Minecraft exploit och hur åtgärdar man det?

Senast ändrad 14 mars 2023 i
  • 13 min read
  • 3561
  • 0
Valeriy Stereo

Valeriy Stereo

CCO, Creative Director

SÄKERHETSPROBLEM I JAVA-UTGÅVAN

Mojang meddelande angående denna sårbarhet: VIKTIGT MEDDELANDE: SÄKERHETSPROBLEM I JAVA-UTGÅVAN

Den 9 december 2021 hittades en exploatering på ett av loggningsbiblioteken som används av Minecraft server jars. Detta är en RCE-sårbarhet (Remote Code Execution), så den anses vara allvarlig och alla rekommenderas att uppdatera så snart som möjligt.

En fix för exploateringen för Paper släpptes av PaperMC-teamet och sammanfogades därefter av de olika förgreningarna av Paper. Andra server jars har också släppt builds som implementerar en fix.

Den 10 december 2021 släppte Mojang en fix för exploateringen på Minecraft -klienter och steg för hur man fixar den på äldre versioner av Minecraft -servrar. Följ stegen nedan för att åtgärda exploateringen.

Klienter var också sårbara för denna exploatering, men Mojang har redan släppt en patch som gäller för alla Minecraft versioner - Du behöver bara stänga alla körande instanser av spelet och Minecraft launcher och starta lancher igen - Den patchade versionen kommer att laddas ner automatiskt.

Det är inte rekommenderat att spela på servrar som inte har uppdaterats till den senaste versionen av Minecraft, eftersom de kan vara sårbara för exploateringen. Detta är kritiskt för moddade klienter som inte fick den fix som Mojang har släppt. Så se till att du också uppdaterar din klick och verifiera med dem om de har släppt en patch till exploateringen.

Vi har skapat detta dokument för att vägleda dig genom stegen för att åtgärda exploiten. Vi rekommenderar att du tillämpar flaggan om det behövs för din Minecraft -version och uppdaterar din serverburk till den senaste tillgängliga byggnaden, se till att den här byggnaden innehåller en fix för exploateringen (det bör stå så i changeloggen). Steg för hur man gör båda sakerna listas nedan.

Om du behöver hjälp med att göra något av detta, vänligen hänvisa till vår #support-chat-kanal på vår Discord server.

Om din server körs:

Forge-servrar

Forge har publicerat en omfattande artikel som beskriver steg för hur man åtgärdar exploateringen antingen genom att uppdatera till den senaste byggnaden eller genom att tillämpa en flagga. Du kan läsa mer här.

1.18-servrar (Vanilla, Spigot, Paper, Purpur och andra förgreningar)

1.18: Uppgradera till 1.18.1, om möjligt. Om inte, använd samma tillvägagångssätt som för 1.17.x:

Länka till PaperMC 1.18.1 .jar med fixen till exploiten:

1.17 - 1.17.1 servrar

Vi har redan tillämpat fixen på alla servrar som kör 1.17 . Vi rekommenderar ändå att du uppgraderar till den senaste versionen av 1.17.1 eller 1.18.1.

Länkar till PaperMC 1.17.1 burkar med fixen till exploiten:

Om du uppdaterar till en av de builds som anges ovan behöver du inte tillämpa flaggfixen som vi listar nedan.

Om du fortfarande vill tillämpa fixen följer du stegen nedan:

Mojang har rekommenderat att du lägger till flaggan -Dlog4j2.formatMsgNoLookups=true i ditt startkommando. Den 9 december 2021 lade Godlike.host-teamet till den här flaggan till alla Minecraft -servrar, så du behöver bara se till att du har den här flaggan i ditt startkommando. Se också till att starta om din server om du inte har gjort det nyligen eftersom omstart av servern tillämpar flaggan vid start. För att verifiera att du har flaggan, gå bara till Minecraft panel, gå sedan till fliken start och se till att flaggan finns i startkommandot, den ska vara före -jar text. Det rekommenderas också att du uppdaterar till den senaste versionen av 1.17.1 som tillhandahålls av din serverburk. Paper, Fabric och andra serverburkar har släppt builds av 1.17.1 inklusive exploit fix. Se uppdateringsavsnittet i slutet av det här dokumentet för mer information.

1.12 - 1.16.5-servrar

PaperMC har släppt jars med fixen för exploiten. Dessa burkar finns inte på deras webbplats, här är direktlänkar till dem (du kan också hitta den på vår servertypsväljare på fliken Inställningar):

Officiellt uttalande från PaperMC: Alla äldre builds stöds inte. Det kan finnas vissa konsolproblem eller andra problem på vissa servrar. Ladda ner och använd på egen risk. Länkar till äldre versioner:

Om du uppdaterar till en av de byggnader som anges ovan behöver du inte tillämpa flaggfixen som vi listar nedan.

Om du fortfarande vill använda fixen följer du stegen nedan:

Om din server av någon anledning inte startar efter att du har tillämpat fixen eller om du vill ta bort fixen klickar du på Ta bort.

Om du av någon anledning behöver göra detta manuellt följer du stegen nedan:

Ladda ner den här filen till den hemkatalog där din server körs. För att göra detta kan du gå till webbadressen och det kommer att öppna en .xml-fil i din webbläsare, du måste högerklicka och sedan klicka på "Spara som" och sedan spara .xml-filen. Du kan också gå över till filhanteraren på vår Minecraft -panel, klicka på knappen Hämta från URL och klistra in följande URL: https://launcher.mojang.com/v1/objects/02937d122c86ce73319ef9975b58896fc1b491d1/log4j2_112-116.xml och detta kommer att ladda ner filen till hemkatalogen på din server. När filen finns på servern går du till fliken start på panelen Minecraft och lägger till följande JVM-argument i dina startflaggor. Detta gör du genom att gå till fliken Startup och lägga till följande JVM-argument i rutan Startup flags: -Dlog4j.configurationFile=log4j2_112-116.xml. När du har lagt till JVM-argumenten startar du om servern. Det rekommenderas också att du uppdaterar till den senaste versionen som tillhandahålls av din serverburk. De flesta utvecklare har uttryckt sin avsikt att inte uppdatera de äldsta versionerna av serverburkarna så att de innehåller felkorrigeringen, men Paper har redan publicerat en ny version av 1.16.5 (Build #792) som innehåller felkorrigeringen. Se uppdateringsavsnittet i slutet av det här dokumentet för mer information.

1.7 - 1.11.2 servrar

PaperMC har släppt jars med fixen för exploiten. Dessa burkar finns inte på deras webbplats, men här är direktlänkar till dem (Du kan också hitta den på vår servertypsväljare på fliken Inställningar)

Officiellt uttalande från PaperMC: Alla äldre byggnader stöds inte. Det kan finnas vissa konsolproblem eller andra problem på vissa servrar. Ladda ner och använd på egen risk. Länkar till äldre versioner:

Om du uppdaterar till en av de builds som anges ovan behöver du inte tillämpa flaggfixen som vi listar nedan.

Om du fortfarande vill tillämpa den (från vårt test fungerar inte dessa flaggor med Paper 1.7 - 1.11.2 och din server kommer inte att starta om du använder dem) kan du följa dessa steg:

Ladda ner den här filen till den hemkatalog där din server körs. För att göra detta kan du gå till webbadressen och den kommer att öppna en .xml-fil i din webbläsare, du måste högerklicka och sedan klicka på "Spara som" och spara .xml-filen. Du kan också gå över till filhanteraren på vår Minecraft -panel, klicka på knappen Hämta från URL och klistra in följande URL: https://launcher.mojang.com/v1/objects/dd2b723346a8dcd48e7f4d245f6bf09e98db9696/log4j2_17-111.xml och detta kommer att ladda ner filen till hemkatalogen på din server. När filen finns på servern går du till fliken start på panelen Minecraft och lägger till följande JVM-argument i dina startflaggor. Detta gör du genom att gå till fliken Startup och lägga till följande JVM-argument i rutan Startup flags: -Dlog4j.configurationFile=log4j2_17-111.xml. När du har lagt till JVM-argumenten startar du om servern.

Servrar med version 1.6 och lägre

Servrar som kör version 1.6 och lägre påverkas inte av den här exploateringen.

Lägga till flaggan i avsnittet om startflaggor

Exempel på hur du lägger till flaggan i ditt startkommando (se markerad text). Kom ihåg att du måste lägga till rätt flagga som matchar din Minecraft -serverversion.

VIKTIGT

Som standard är det här alternativet inställt för alla servrar och kanske inte visas som xms och xmx

Uppdatera serverns jar till den senaste versionen

:white_check_mark: Spigot - Se här!

:white_check_mark: Paper - Ladda ner här - Exploateringsfixen finns i Build #64 eller nyare för MC 1.18 / Build #398 eller nyare för MC 1.17.1. Paper har också backporterat fixen till MC 1.16.5 med Build #792 som finns här. Vi rekommenderar att du använder Build #399 eller nyare för MC 1. 17.1 och Build #67 eller nyare för MC 1.18-1.18.1, dessa builds är de som innehåller ett uppdaterat Log4J-bibliotek (det bibliotek som hade exploiten i äldre versioner).

PaperMC-byggnader som inkluderar exploateringsfixen:

  • Paper 1.18.1 - Välj den senaste versionen på webbplatsen och hämta den: PaperMC 1.18.1 Byggnader
  • Paper 1.17.1 - Välj den senaste versionen på webbplatsen och hämta den: PaperMC 1.17.1 Byggnader
  • Paper 1.16.5 Build #792 - Klicka här för att ladda ner
  • Paper 1.15.2 Build #392 - Klicka här för att ladda ner
  • Paper 1.14.4 Build #244 - Klicka här för att ladda ner
  • Paper 1.13.2 Build #656 - Klicka här för att ladda ner
  • Paper 1.12.2 Build #1619 - Klicka här för att ladda ner
  • Paper 1.11.2 Build #1105 - Klicka här för att ladda ner
  • Paper 1.10.2 Build #917 - Klicka här för att ladda ner
  • Paper 1.9.4 Build #774 - Klicka här för att ladda ner
  • Paper 1.8.8 Build #444 - Klicka här för att ladda ner

:white_check_mark: Purpur - Ladda ner här - Exploateringsfixen finns i Build # 1432 eller nyare för MC 1.18.

:white_check_mark: Waterfall - Ladda ner här - Exploitfixen finns i Build 467 eller nyare. Vi rekommenderar att du använder Build 468 eller nyare som innehåller ett uppdaterat Log4J-bibliotek (biblioteket som hade exploiten i äldre versioner).

:white_check_mark: Velocity - Ladda ner här - Exploitfixen finns i Build #97 eller nyare. Vi rekommenderar att du använder Build #98 eller nyare som innehåller ett uppdaterat Log4J-bibliotek (biblioteket som hade exploateringen i äldre versioner).

:white_check_mark: Forge - Ladda ner här - Forge har uppdaterat de mest populära versionerna för att tillämpa exploateringsfixen. Följande Forge-versioner (eller nyare versioner) är de som innehåller exploateringsfixen:

Forge har publicerat en omfattande artikel som beskriver steg för hur man åtgärdar exploiten antingen genom att uppdatera till den senaste versionen eller genom att tillämpa en flagga. Du kan läsa mer här.

Du bör kunna ladda ner en av jargarna ovan (se till att du laddar ner en build med fixen), köra .jar på din maskin, klicka på create server files, arkivera/zipa sedan alla serverfiler som genererades och ladda upp dem till din server.

Du kan också uppdatera din server med hjälp av vår servertypsväljare. Gå bara till inställningssidan på din server, välj sedan den burk du vill ladda ner och välj den senaste byggnaden. Se till att du refererar till build # som anges ovan så att du vet att du laddar ner en build som innehåller fixen. Du kan också använda knappen Uppdatera till den senaste versionen om du tidigare har använt vår väljare för servertyp.

Vi rekommenderar attdu kör en säkerhetskopia av servern innan du uppdaterar eller gör några ändringar. Se vår guide om hur säkerhetskopior fungerar och hur man använder dem.

Hur man verifierar om din server är sårbar

Som per PaperMC-team: För att testa om plåstret fungerar, kör say ${date:YYYY} i konsolen, det ska mata ut samma kommando och inte 2021. Om det matar ut 2021 har du inte åtgärdat problemet ordentligt.

Om du behöver hjälp med att uppdatera din server hänvisar vi till vår uppdateringsguide och #open-ticket.

Vänligen betygsätt artikeln på en 5-gradig skala

Bli den första att betygsätta denna nyhet!
Hittade du ett misstag? Markera det och tryck på Ctrl + Enter för att meddela oss.
Demo
Spel
Panel
×

Rapportera ett fel

Fel text

Ditt val