SICHERHEITSLÜCKE IN DER JAVA EDITION

Mojang-Ankündigung zu dieser Sicherheitslücke: WICHTIGE NACHRICHT: SICHERHEITSLÜCKE IN DER JAVA-EDITION

Am 9. Dezember 2021 wurde eine Sicherheitslücke in einer der Logging-Bibliotheken gefunden, die von Minecraft server jars verwendet wird. Es handelt sich um eine RCE-Schwachstelle (Remote Code Execution), die als schwerwiegend eingestuft wird, und es wird allen empfohlen, so schnell wie möglich zu aktualisieren.

Ein Fix für den Exploit für Paper wurde vom PaperMC-Team veröffentlicht und anschließend von den verschiedenen Forks von Paper zusammengeführt. Andere Server-Forks haben ebenfalls Builds veröffentlicht, die einen Fix implementieren.

Am 10. Dezember 2021 veröffentlichte Mojang einen Fix für den Exploit auf Minecraft Clients sowie Schritte zur Behebung des Problems auf älteren Versionen von Minecraft Servern. Führen Sie die unten beschriebenen Schritte aus, um die Schwachstelle zu beheben.

Clients waren ebenfalls anfällig für diesen Exploit, aber Mojang hat bereits einen Patch veröffentlicht, der für alle Minecraft Versionen gilt - Sie müssen nur alle laufenden Instanzen des Spiels und den Minecraft Launcher schließen und den Lancher neu starten - Die gepatchte Version wird automatisch heruntergeladen.

Es wird nicht empfohlen, auf Servern zu spielen, die noch nicht auf die neueste Version von Minecraft aktualisiert wurden, da sie für den Exploit anfällig sein könnten. Dies ist kritisch für modifizierte Clients, die den von Mojang veröffentlichten Fix nicht erhalten haben. Stellen Sie also sicher, dass Sie auch Ihre Klicks aktualisieren und überprüfen Sie, ob sie einen Patch für die Sicherheitslücke veröffentlicht haben.

Wir haben dieses Dokument erstellt, um Sie durch die Schritte zur Behebung der Sicherheitslücke zu führen. Wir empfehlen Ihnen, das Flag für Ihre Version von Minecraft anzuwenden und Ihr Server-Jar auf die neueste verfügbare Version zu aktualisieren. Vergewissern Sie sich, dass diese Version einen Fix für die Sicherheitslücke enthält (dies sollte im Changelog vermerkt sein). Die Schritte, wie Sie beide Dinge tun, sind unten aufgeführt.

Wenn Sie dabei Hilfe benötigen, wenden Sie sich bitte an unseren #support-chat Kanal auf unserem Discord Server.

Wenn Ihr Server läuft:

Forge-Server

Forge hat einen ausführlichen Artikel veröffentlicht, in dem beschrieben wird, wie man den Exploit entweder durch ein Update auf den neuesten Build oder durch die Anwendung eines Flags beheben kann. Sie können hier mehr lesen.

1.18-Server (Vanilla, Spigot, Paper, Purpur und andere Forks)

1.18: Aktualisieren Sie auf 1.18.1, wenn möglich. Wenn nicht, gehen Sie wie bei 1.17.x vor:

Verlinken Sie auf PaperMC 1.18.1 .jar mit der Behebung des Exploits:

• Paper 1.18.1 - Wählen Sie den neuesten Build auf der Website und laden Sie ihn herunter: PaperMC 1.18.1 Builds

1.17 - 1.17.1 Server

Wir haben den Fix bereits auf alle Server mit der Version 1.17 angewendet. Wir empfehlen Ihnen dennoch ein Upgrade auf den letzten Build von 1.17.1 oder 1.18.1.

Links zu PaperMC 1.17.1 Jars mit dem Fix für die Sicherheitslücke:

• Paper 1.17.1 - Wählen Sie den neuesten Build auf der Website und laden Sie ihn herunter: PaperMC 1.17.1-Builds

Wenn Sie auf einen der oben aufgeführten Builds aktualisieren, müssen Sie den unten aufgeführten Flag-Fix nicht anwenden.

Wenn Sie den Fix dennoch anwenden möchten, folgen Sie den unten aufgeführten Schritten:

Mojang hat empfohlen, die Flagge -Dlog4j2.formatMsgNoLookups=true zu Ihrem Startbefehl hinzuzufügen. Am 9. Dezember 2021 fügte das Godlike.host Team diese Flagge zu allen Minecraft Servern hinzu, also müsst ihr nur sicherstellen, dass ihr diese Flagge in eurem Startbefehl habt. Stellen Sie außerdem sicher, dass Sie Ihren Server neu starten, falls Sie dies noch nicht getan haben, da der Neustart des Servers das Flag beim Start aktiviert. Um zu überprüfen, ob das Flag vorhanden ist, gehen Sie einfach auf Minecraft, dann auf die Registerkarte "Start" und vergewissern Sie sich, dass das Flag im Startbefehl enthalten ist. Es sollte vor dem Text -jar stehen. Es wird auch empfohlen, dass Sie auf den neuesten Build von 1.17.1 aktualisieren, der von Ihrem Server-Jar bereitgestellt wird. Paper, Fabric und andere Server-Jars haben Builds von 1.17.1 veröffentlicht, die den Exploit-Fix enthalten. Weitere Informationen finden Sie im Abschnitt über Aktualisierungen am Ende dieses Dokuments.

1.12 - 1.16.5 Server

PaperMC hat Jars mit dem Fix für den Exploit veröffentlicht. Diese Jars sind nicht auf ihrer Website zu finden, hier sind direkte Links zu ihnen (Sie können sie auch in unserem Servertyp-Selektor auf der Registerkarte Einstellungen finden):

Offizielle Erklärung von PaperMC: Alle alten Builds werden nicht unterstützt. Auf einigen Servern kann es zu Konsolen- oder anderen Problemen kommen. Download und Nutzung auf eigene Gefahr. Links zu Legacy-Builds:

• Paper 1.16.5 Build #792 - Klicken Sie hier zum Herunterladen
• Paper 1.15.2 Build #392 - Klicken Sie hier zum Herunterladen
• Paper 1.14.4 Build #244 - Zum Herunterladen hier klicken
• Papier 1.13.2 Build #656 - Zum Herunterladen hier klicken
• Papier 1.12.2 Build #1619 - Zum Herunterladen hier klicken

Wenn Sie auf eine der oben aufgeführten Builds aktualisieren, müssen Sie den unten aufgeführten Flag-Fix nicht anwenden.

Wenn Sie den Fix dennoch anwenden möchten, folgen Sie den unten aufgeführten Schritten:

Wenn Ihr Server aus irgendeinem Grund nach der Anwendung des Fixes nicht startet oder Sie den Fix entfernen möchten, klicken Sie auf Entfernen.

Wenn Sie dies aus irgendeinem Grund manuell tun müssen, führen Sie die folgenden Schritte aus:

Laden Sie diese Datei in das Home-Verzeichnis herunter, in dem Ihr Server läuft. Gehen Sie dazu auf die URL und es öffnet sich eine .xml-Datei in Ihrem Browser, klicken Sie mit der rechten Maustaste auf "Speichern unter" und speichern Sie die .xml-Datei. Sie können auch den Dateimanager auf unserer Website Minecraft aufrufen, auf die Schaltfläche Von URL herunterladen klicken und die folgende URL einfügen: https://launcher.mojang.com/v1/objects/02937d122c86ce73319ef9975b58896fc1b491d1/log4j2_112-116.xml. Dadurch wird die Datei in das Home-Verzeichnis Ihres Servers heruntergeladen. Nachdem sich die Datei auf dem Server befindet, gehen Sie auf die Registerkarte "Start" im Panel Minecraft und fügen Sie die folgenden JVM-Argumente zu Ihren Startflags hinzu. Gehen Sie dazu auf die Registerkarte "Start" und fügen Sie die folgenden JVM-Argumente in das Feld "Startflags" ein: -Dlog4j.configurationFile=log4j2_112-116.xml. Nachdem Sie die JVM-Argumente hinzugefügt haben, starten Sie Ihren Server neu. Es wird auch empfohlen, dass Sie auf den neuesten Build aktualisieren, der von Ihrem Server-Jar bereitgestellt wird. Die meisten Entwickler haben die Absicht geäußert, die ältesten Versionen der Server-Jars nicht zu aktualisieren, um den Exploit-Fix einzubeziehen, aber Paper hat bereits einen neuen Build von 1.16.5 (Build #792) veröffentlicht, der den Bug-Fix enthält. Weitere Informationen finden Sie im Abschnitt über Aktualisierungen am Ende dieses Dokuments.

1.7 - 1.11.2 Server

PaperMC hat Jars mit dem Fix für den Exploit veröffentlicht. Diese Jars sind nicht auf ihrer Website zu finden, aber hier sind direkte Links zu ihnen (Sie können sie auch in unserem Servertyp-Selektor auf der Registerkarte Einstellungen finden)

Offizielle Erklärung von PaperMC: Alle alten Builds werden nicht unterstützt. Auf einigen Servern kann es zu Konsolen- oder anderen Problemen kommen. Download und Nutzung auf eigene Gefahr. Links zu Legacy-Builds:

• Paper 1.11.2 Build #1105 - Klicken Sie hier zum Herunterladen
• Paper 1.10.2 Build #917 - Klicken Sie hier zum Herunterladen
• Paper 1.9.4 Build #774 - Zum Herunterladen hier klicken
• Paper 1.8.8 Build #444 - Zum Herunterladen hier klicken

Wenn Sie auf eine der oben aufgeführten Builds aktualisieren, müssen Sie den unten aufgeführten Flag-Fix nicht anwenden.

Wenn Sie sie dennoch anwenden möchten (nach unseren Tests funktionieren diese Flags nicht mit Paper 1.7 - 1.11.2 und Ihr Server startet nicht, wenn Sie sie verwenden), können Sie die folgenden Schritte ausführen:

Laden Sie diese Datei in das Home-Verzeichnis herunter, in dem Ihr Server läuft. Gehen Sie dazu auf die URL und es öffnet sich eine .xml-Datei in Ihrem Browser, klicken Sie mit der rechten Maustaste auf "Speichern unter" und speichern Sie die .xml-Datei. Sie können auch den Dateimanager auf unserer Website Minecraft aufrufen, auf die Schaltfläche Von URL herunterladen klicken und die folgende URL einfügen: https://launcher.mojang.com/v1/objects/dd2b723346a8dcd48e7f4d245f6bf09e98db9696/log4j2_17-111.xml. Dadurch wird die Datei in das Home-Verzeichnis Ihres Servers heruntergeladen. Nachdem sich die Datei auf dem Server befindet, gehen Sie auf die Registerkarte "Start" im Panel Minecraft und fügen Sie die folgenden JVM-Argumente zu Ihren Startflags hinzu. Gehen Sie dazu auf die Registerkarte "Start" und fügen Sie die folgenden JVM-Argumente in das Feld "Startflags" ein: -Dlog4j.configurationFile=log4j2_17-111.xml. Nachdem Sie die JVM-Argumente hinzugefügt haben, starten Sie Ihren Server neu.

Server der Versionen 1.6 und darunter

Server mit den Versionen 1.6 und darunter sind von diesem Exploit nicht betroffen.

Hinzufügen des Flags zum Abschnitt Startup-Flags

Beispiel für das Hinzufügen des Flags zu Ihrem Startbefehl (siehe hervorgehobener Text). Denken Sie daran, dass Sie das zu Ihrer Minecraft Serverversion passende Flag hinzufügen müssen.

WICHTIG

Standardmäßig ist diese Option für alle Server gesetzt und wird möglicherweise nicht als xms und xmx angezeigt.

Aktualisieren des Server-Jar auf den neuesten Build

:white_check_mark: Spigot - Siehe hier!

:white_check_mark: Paper - Download hier - Der Exploit-Fix ist in Build #64 oder neuer für MC 1.18 / Build #398 oder neuer für MC 1.17.1. Paper hat den Fix auch auf MC 1.16.5 mit Build #792 zurückportiert, der hier zu finden ist. Wir empfehlen die Verwendung von Build #399 oder neuer für MC 1.17.1 und Build #67 oder neuer für MC 1.18-1.18.1, da diese Builds eine aktualisierte Log4J-Bibliothek enthalten (die Bibliothek, die den Exploit in älteren Versionen enthielt).

PaperMC-Builds, die den Exploit-Fix enthalten:

• Paper 1.18.1 - Wählen Sie den neuesten Build auf der Website und laden Sie ihn herunter: PaperMC 1.18.1-Builds
• Paper 1.17.1 - Wählen Sie den neuesten Build auf der Website und laden Sie ihn herunter: PaperMC 1.17.1 Builds
• Paper 1.16.5 Build #792 - Klicken Sie hier zum Herunterladen
• Paper 1.15.2 Build #392 - Klicken Sie hier zum Herunterladen
• Paper 1.14.4 Build #244 - Zum Herunterladen hier klicken
• Papier 1.13.2 Build #656 - Zum Herunterladen hier klicken
• Papier 1.12.2 Build #1619 - Zum Herunterladen hier klicken
• Paper 1.11.2 Build #1105 - Zum Herunterladen hier klicken
• Paper 1.10.2 Build #917 - Zum Herunterladen hier klicken
• Paper 1.9.4 Build #774 - Zum Herunterladen hier klicken
• Paper 1.8.8 Build #444 - Zum Herunterladen hier klicken

:white_check_mark: Purpur - Hier herunterladen - Der Exploit-Fix ist in Build #1432 oder neuer für MC 1.18.

:white_check_mark: Waterfall - Hier herunterladen - Der Exploit-Fix ist in Build #467 oder neuer. Wir empfehlen die Verwendung von Build #468 oder neuer, der eine aktualisierte Log4J-Bibliothek enthält (die Bibliothek, die den Exploit in älteren Versionen enthielt).

:white_check_mark: Velocity - Download hier - Der Exploit-Fix ist in Build #97 oder neuer. Wir empfehlen die Verwendung von Build #98 oder neuer, der eine aktualisierte Log4J-Bibliothek enthält (die Bibliothek, die in älteren Versionen den Exploit enthielt).

:white_check_mark: Forge - Download hier - Forge hat die gängigsten Versionen aktualisiert, um den Exploit-Fix anzuwenden. Die folgenden Forge-Versionen (oder neuere Versionen) enthalten den Exploit-Fix:

Forge hat einen ausführlichen Artikel veröffentlicht, in dem beschrieben wird, wie man die Sicherheitslücke entweder durch ein Update auf den neuesten Build oder durch die Anwendung eines Flags beheben kann. Sie können hier mehr lesen.

• 1.18-38.0.17 oder neuer
• 1.17.1-37.1.1 oder neuer
• 1.16.5-36.2.20 oder neuer
• 1.15.2-31.2.56 oder neuer
• 1.14.4-28.2.25 oder neuer
• 1.13.2-25.0.222 oder neuer
• 1.12.2-14.23.5.2857 oder neuer

Sie sollten in der Lage sein, eines der oben genannten Jars herunterzuladen (stellen Sie sicher, dass Sie ein Build mit dem Fix herunterladen), führen Sie das .jar auf Ihrem Rechner aus, klicken Sie auf Serverdateien erstellen, archivieren/zippen Sie dann alle Serverdateien, die erzeugt wurden, und laden Sie sie auf Ihren Server hoch.

Sie können Ihren Server auch mit Hilfe unseres Servertyp-Auswahlsystems aktualisieren. Rufen Sie einfach die Einstellungsseite Ihres Servers auf, wählen Sie das Jar aus, das Sie herunterladen möchten, und wählen Sie den neuesten Build. Vergewissern Sie sich, dass Sie sich auf die oben angegebene Build-Nummer beziehen, damit Sie wissen, dass Sie ein Build herunterladen, das den Fix enthält. Sie können auch die Schaltfläche Auf das neueste Build aktualisieren verwenden, wenn Sie in der Vergangenheit unseren Servertyp-Auswahlschalter verwendet haben.

Es wirdempfohlen, ein Server-Backup durchzuführen, bevor Sie aktualisieren oder Änderungen vornehmen. Lesen Sie unseren Leitfaden über die Funktionsweise von Backups und deren Verwendung.

So überprüfen Sie, ob Ihr Server verwundbar ist

Laut PaperMC-Team: Um zu testen, ob der Patch funktioniert, führen Sie say ${date:YYYY} in der Konsole aus. Es sollte den gleichen Befehl und nicht 2021 ausgeben. Wenn es 2021 ausgibt, haben Sie das Problem nicht richtig behoben.

Wenn Sie Hilfe bei der Aktualisierung Ihres Servers benötigen, lesen Sie bitte unsere Aktualisierungsanleitung und unser #open-ticket.