Qué es el exploit Minecraft y cómo solucionarlo

Modificado por última vez el 14 marzo 2023 en Running a server
  • 13 min read
  • 3869
  • 0
Valeriy Stereo

Valeriy Stereo

CCO, Creative Director

VULNERABILIDAD DE SEGURIDAD EN LA EDICIÓN JAVA

Anuncio de Mojang sobre esta vulnerabilidad: MENSAJE IMPORTANTE: VULNERABILIDAD DE SEGURIDAD EN LA EDICIÓN JAVA

El 9 de diciembre de 2021 se encontró un exploit en una de las librerías de registro utilizadas por los jars del servidor Minecraft. Se trata de una vulnerabilidad RCE (Remote Code Execution), por lo que se considera grave y se recomienda a todo el mundo que actualice lo antes posible.

El equipo de PaperMC publicó una solución para el exploit de Paper, que posteriormente fue fusionada por las diferentes bifurcaciones de Paper. Otros servidores también han publicado versiones que implementan la solución.

El 10 de diciembre de 2021, Mojang publicó una solución para el exploit en los clientes de Minecraft y los pasos para solucionarlo en las versiones anteriores de los servidores de Minecraft. Sigue los pasos que se indican a continuación para solucionar el problema.

Los clientes también eran vulnerables a este exploit, pero Mojang ya ha publicado un parche que se aplica a todas las versiones de Minecraft - Sólo tienes que cerrar todas las instancias en ejecución del juego y el lanzador Minecraft e iniciar el lanzador de nuevo - La versión parcheada se descargará automáticamente.

No se recomienda jugar en servidores que no hayan sido actualizados a la última versión de Minecraft, ya que pueden ser vulnerables al exploit. Esto es crítico para los clientes modded que no han recibido la corrección que Mojang ha publicado. Así que asegúrate de actualizar también tu clic y verifica con ellos si han publicado un parche para el exploit.

Hemos creado este documento para guiarte a través de los pasos para solucionar el exploit. Le recomendamos que aplique la bandera si es necesario para su versión Minecraft y actualizar su jar servidor a la última versión disponible, asegúrese de que esta versión incluye una solución para el exploit (que debe decir que en el registro de cambios). A continuación se indican los pasos para realizar ambas acciones.

Si necesita ayuda para hacer algo de esto por favor refiérase a nuestro canal #support-chat en nuestro Discord servidor.

Si tu servidor está funcionando:

Servidores Forge

Forge ha publicado un extenso artículo detallando los pasos a seguir para solucionar el problema, ya sea actualizando a la última versión o aplicando una bandera. Puedes leer más aquí.

Servidores 1.18 (Vanilla, Spigot, Paper, Purpur y otros forks)

1.18: Actualiza a 1.18.1, si es posible. Si no, utilice el mismo método que para 1.17.x:

Enlace a PaperMC 1.18.1 .jar con la corrección del exploit:

Servidores 1.17 - 1.17.1

Ya hemos aplicado la corrección a todos los servidores que ejecutan la versión 1.17. Le recomendamos que actualice a la última versión 1.17.1 o 1.18.1.

Enlaces a los jars de PaperMC 1.17.1 con la corrección del exploit:

Si actualizas a una de las versiones listadas arriba no necesitas aplicar la corrección que listamos a continuación.

Si aún así quieres aplicar la corrección, sigue los pasos que se indican a continuación:

Mojang ha recomendado que añadas la bandera -Dlog4j2.formatMsgNoLookups=true a tu comando de inicio. El 9 de diciembre de 2021, el equipo de Godlike.host añadió esta bandera a todos los servidores Minecraft, por lo que solo tienes que asegurarte de que tienes esta bandera en tu comando de inicio. Además, asegúrese de reiniciar su servidor, si no lo ha hecho recientemente, ya que al reiniciar el servidor se aplica la bandera en el arranque. Para verificar que usted tiene la bandera, sólo tiene que ir a Minecraft panel, a continuación, vaya a la pestaña de inicio y asegúrese de que la bandera está en el comando de inicio, debe estar antes de que el texto -jar. También es recomendable que actualices a la última versión de 1.17.1 proporcionada por tu jar servidor. Paper, Fabric y otras jarras servidoras han publicado versiones de 1.17.1 que incluyen la corrección del exploit. Consulta la sección de actualizaciones al final de este documento para obtener más información.

Servidores 1.12 - 1.16.5

PaperMC ha publicado jars con la corrección del exploit. Estos jars no están en su sitio web, aquí están los enlaces directos a ellos (También se puede encontrar en nuestro selector de tipo de servidor en la pestaña de configuración):

Comunicado oficial de PaperMC: Todas las versiones anteriores no son compatibles. Puede haber algunos problemas de consola o de otro tipo en algunos servidores. Descárgalo y úsalo bajo tu propia responsabilidad. Enlaces a versiones anteriores:

  • Paper 1.16.5 Build #792 - Haz clic aquí para descargarlo
  • Paper 1.15.2 Build #392 - Haz clic aquí para descargarlo
  • Paper 1.14.4 Build #244 - Haz clic aquí para descargarlo
  • Paper 1.13.2 Build #656 - Haga clic aquí para descargarlo
  • Paper 1.12.2 Build #1619 - Haga clic aquí para descargarlo

Si actualiza a una de las versiones mencionadas anteriormente, no es necesario que aplique la corrección que se indica a continuación.

Si aún así desea aplicar la corrección, siga los pasos que se indican a continuación:

Si por alguna razón su servidor no se inicia después de aplicar la corrección o si desea eliminar la corrección, haga clic en Eliminar.

Si por alguna razón necesitas hacerlo manualmente, sigue los siguientes pasos:

Descargue este archivo en el directorio de inicio donde se ejecuta su servidor. Para ello puede ir a la URL y se abrirá un archivo .xml en su navegador, usted tendrá que hacer clic derecho y luego haga clic en "Guardar como" a continuación, guarde el archivo .xml. También puede dirigirse al Administrador de archivos en nuestro panel Minecraft, haga clic en el botón Descargar desde URL y pegue la siguiente URL: https://launcher.mojang.com/v1/objects/02937d122c86ce73319ef9975b58896fc1b491d1/log4j2_112-116.xml y esto descargará el archivo en el directorio principal de su servidor. Después de que el archivo esté en el servidor, ve a la pestaña de inicio en el panel Minecraft y añade los siguientes argumentos JVM a tus banderas de inicio. Para ello, vaya a la pestaña de inicio y añada los siguientes argumentos JVM en el cuadro de banderas de inicio: -Dlog4j.configurationFile=log4j2_112-116.xml. Después de añadir los argumentos JVM, reinicie su servidor. También es recomendable que actualices a la última compilación proporcionada por el jar de tu servidor. La mayoría de los desarrolladores han expresado su intención de no actualizar las versiones más antiguas de los jars de servidor para incluir la corrección del fallo, pero Paper ya ha publicado una nueva compilación de 1.16.5 (Build #792) que incluye la corrección del fallo. Consulte la sección de actualización al final de este documento para obtener más información.

Servidores 1.7 - 1.11.2

PaperMC ha liberado jars con la corrección del exploit. Estos jars no están en su página web, pero aquí hay enlaces directos a ellos (También puedes encontrarlos en nuestro selector de tipo de servidor en la pestaña de configuración)

Declaración oficial de PaperMC: Todas las versiones anteriores no son compatibles. Puede haber algunos problemas de consola o de otro tipo en algunos servidores. Descárgalo y úsalo bajo tu propia responsabilidad. Enlaces a versiones anteriores:

  • Paper 1.11.2 Build #1105 - Haz clic aquí para descargarlo
  • Paper 1.10.2 Build #917 - Haz clic aquí para descargarlo
  • Paper 1.9.4 Build #774 - Haz clic aquí para descargarlo
  • Paper 1.8.8 Build #444 - Haga clic aquí para descargarlo

Si actualiza a una de las versiones indicadas anteriormente, no es necesario que aplique la corrección que se indica a continuación.

Si aún así quieres aplicarla (según nuestras pruebas, estas banderas no funcionan con Paper 1.7 - 1.11.2 y tu servidor no arrancará si las usas) puedes seguir estos pasos:

Descargue este archivo en el directorio de inicio donde se ejecuta su servidor. Para hacer esto puedes ir a la URL y se abrirá un archivo .xml en tu navegador, tendrás que hacer click derecho y luego click en 'Guardar como' y luego guardar el archivo .xml. También puede dirigirse al Administrador de archivos en nuestro panel Minecraft, haga clic en el botón Descargar desde URL y pegue la siguiente URL: https://launcher.mojang.com/v1/objects/dd2b723346a8dcd48e7f4d245f6bf09e98db9696/log4j2_17-111.xml y esto descargará el archivo en el directorio principal de su servidor. Después de que el archivo esté en el servidor, ve a la pestaña de inicio en el panel Minecraft y añade los siguientes argumentos JVM a tus banderas de inicio. Para ello, vaya a la pestaña de inicio y añada los siguientes argumentos JVM en el cuadro de banderas de inicio: -Dlog4j.configurationFile=log4j2_17-111.xml. Después de añadir los argumentos JVM, reinicia tu servidor.

Servidores 1.6 e inferiores

Los servidores con versiones 1.6 e inferiores no se ven afectados por este exploit.

Añadir la bandera a la sección de banderas de inicio

Ejemplo de cómo añadir la bandera a tu comando de arranque (ver texto resaltado). Recuerde que debe añadir el indicador adecuado a la versión de su servidor Minecraft.

IMPORTANTE

Por defecto, esta opción está configurada para todos los servidores y puede que no se muestre como xms y xmx

Actualizar el jar del servidor a la última versión

:white_check_mark: Spigot - ¡Vea aquí!

:white_check_mark: Paper - Descargar aquí - La corrección del exploit se encuentra en la compilación #64 o posterior para MC 1.18 / compilación #398 o posterior para MC 1.17.1. Paper también ha retroportado la corrección a MC 1.16.5 con la Build #792 que se puede encontrar aquí. Recomendamos el uso de la Build #399 o más reciente para MC 1.17 .1 y la Build #67 o más reciente para MC 1.18-1.18.1, estas builds son las que incluyen una librería Log4J actualizada (la librería que tenía el exploit en versiones anteriores).

Versiones de PaperMC que incluyen la corrección del exploit:

  • Paper 1.18.1 - Elija la última versión en el sitio web y descárguela: PaperMC 1.18.1 Builds
  • Paper 1.17.1 - Elija la última versión en el sitio web y descárguela: PaperMC 1.17.1 Builds
  • Paper 1.16.5 Build #792 - Haga clic aquí para descargarlo
  • Paper 1.15.2 Build #392 - Haga clic aquí para descargarlo
  • Paper 1.14.4 Build #244 - Haga clic aquí para descargarlo
  • Paper 1.13.2 Build #656 - Haga clic aquí para descargarlo
  • Documento 1.12.2 Build #1619 - Haga clic aquí para descargarlo
  • Documento 1.11.2 Build #1105 - Haga clic aquí para descargarlo
  • Paper 1.10.2 Build #917 - Haga clic aquí para descargarlo
  • Paper 1.9.4 Build #774 - Haga clic aquí para descargarlo
  • Paper 1.8.8 Build #444 - Haga clic aquí para descargarlo

:white_check_mark: Purpur - Descargar aquí - El exploit fix está en la Build #1432 o posterior para MC 1.18.

:white_check_mark: Waterfall - Descargar aquí - La corrección del problema se encuentra en la compilación #467 o posterior. Recomendamos el uso de la compilación 468 o posterior, que incluye una biblioteca Log4J actualizada (la biblioteca que contenía el exploit en versiones anteriores).

:white_check_mark: Velocity - Descargar aquí - La corrección del exploit se encuentra en la Build #97 o posterior. Recomendamos el uso de la Build #98 o posterior que incluye una librería Log4J actualizada (la librería que tenía el exploit en versiones anteriores).

:white_check_mark: Forge - Descargar aquí - Forge ha actualizado las versiones más populares para aplicar la corrección del exploit. Las siguientes versiones de Forge (o versiones más recientes) son las que contienen la corrección del exploit:

Forge ha publicado un extenso artículo en el que se detallan los pasos a seguir para solucionar el problema, ya sea actualizando a la última versión o aplicando un indicador. Puedes leer más aquí.

Deberías poder descargar uno de los jars anteriores (asegúrate de descargar una compilación con la corrección), ejecuta el .jar en tu máquina, haz clic en crear archivos de servidor, luego archiva/comprime todos los archivos de servidor que se generaron y súbelos a tu servidor.

También puedes actualizar tu servidor utilizando nuestro selector de tipo de servidor. Sólo tienes que ir a la página de configuración de su servidor, a continuación, seleccione el frasco que desea descargar y seleccione la última versión. Asegúrese de hacer referencia al número de compilación indicado anteriormente para saber que está descargando una compilación que incluye la corrección. También puede utilizar el botón Actualizar a la última versión si ha utilizado nuestro selector de tipo de servidor en el pasado.

Serecomienda realizar una copia de seguridad del servidor antes de actualizar o realizar cualquier cambio. Consulte nuestra guía sobre Cómo funcionan las copias de seguridad y cómo utilizarlas.

Cómo verificar si su servidor es vulnerable

Según el equipo de PaperMC: Para comprobar si el parche está funcionando, ejecute say ${date:YYYY} en la consola, debe mostrar el mismo comando y no 2021. Si sale 2021 no has solucionado el problema correctamente.

Si necesitas ayuda para actualizar tu servidor, consulta nuestra guía de actualización y #open-ticket.

Califique el artículo en una escala de 5 puntos

Sea el primero en valorar esta noticia!
¿Encontraste un error? Selecciónalo y presiona Ctrl + Enter para informarnos.
Panel
de juego
Demo
×

Informar de un error

Error de texto

Tu elección