Ce este Minecraft exploit și cum să îl remediați
- 14 min read
- 1131
- 0
VULNERABILITATE DE SECURITATE ÎN EDIȚIA JAVA
Anunțul Mojang cu privire la această vulnerabilitate: MESAJ IMPORTANT: VULNERABILITATE DE SECURITATE ÎN EDIȚIA JAVA
Pe 9 decembrie 2021 a fost găsit un exploit pe una dintre bibliotecile de logare folosite de serverul Minecraft jars. Aceasta este o vulnerabilitate de tip RCE (Remote Code Execution), deci este considerată severă și toată lumea este sfătuită să se actualizeze cât mai curând posibil.
O soluție pentru exploit pentru Paper a fost publicată de echipa PaperMC și ulterior a fost fuzionată de diferitele furci ale Paper. Alte borcane de servere au lansat, de asemenea, build-uri care implementează o corecție.
La 10 decembrie 2021, Mojang a publicat o soluție pentru exploit pe clienții Minecraft și pași pentru remedierea acestuia pe versiunile mai vechi ale serverelor Minecraft. Urmați pașii descriși mai jos pentru a remedia exploit-ul.
Clienții au fost, de asemenea, vulnerabili la acest exploit, dar Mojang a lansat deja un patch care se aplică tuturor versiunilor Minecraft - Trebuie doar să închideți toate instanțele de joc în curs de execuție și lansatorul Minecraft și să porniți din nou lansatorul - Versiunea corectată se va descărca automat.
Nu este recomandat să jucați pe servere care nu au fost actualizate la cea mai recentă versiune de Minecraft, deoarece acestea pot fi vulnerabile la exploit. Acest lucru este critic pentru clienții moddați care nu au primit remedierea pe care Mojang a lansat-o. Așadar, asigurați-vă că vă actualizați și dvs. clipul și verificați cu ei dacă au lansat un patch pentru exploit.
Am creat acest document pentru a vă ghida prin pașii de remediere a exploit-ului. Vă recomandăm să aplicați stegulețul, dacă este necesar, pentru versiunea Minecraft și să actualizați serverul jar la cea mai recentă versiune disponibilă, asigurați-vă că această versiune include o corecție pentru exploit (ar trebui să se menționeze acest lucru în changelog). Pașii pentru a face ambele lucruri sunt listați mai jos.
Dacă aveți nevoie de ajutor pentru a face oricare dintre aceste lucruri, vă rugăm să vă referiți la canalul nostru #support-chat de pe site-ul nostru Discord server.
Dacă serverul dvs. este în funcțiune:
Serverele Forge
Forge a publicat un articol amplu care detaliază pașii de remediere a exploit-ului, fie prin actualizarea la cea mai recentă versiune, fie prin aplicarea unui flag. Puteți citi mai multe aici.
Servere 1.18 (Vanilla, Spigot, Paper, Purpur și alte furci)
1.18: Actualizați la 1.18.1, dacă este posibil. Dacă nu, utilizați aceeași abordare ca pentru 1.17.x:
Faceți un link către PaperMC 1.18.1 .jar cu soluția la exploit:
- Paper 1.18.1 - Alegeți cea mai recentă versiune de pe site și descărcați-o: PaperMC 1.18.1 Builds
Serverele 1.17 - 1.17.1
Am aplicat deja corecția la toate serverele care rulează 1.17 . Vă recomandăm în continuare să faceți upgrade la ultima versiune 1.17.1 sau 1.18.1.
Legături către borcanele PaperMC 1.17.1 cu remedierea exploit-ului:
- Paper 1.17.1 - Alegeți cea mai recentă versiune de pe site și descărcați-o: PaperMC 1.17.1 Builds
Dacă faceți actualizarea la una dintre compilările enumerate mai sus, nu este nevoie să aplicați corecția pentru steaguri pe care o enumerăm mai jos.
Dacă totuși doriți să aplicați corecția, urmați pașii enumerați mai jos:
Mojang a recomandat să adăugați stegulețul -Dlog4j2.formatMsgNoLookups=true la comanda de pornire. Pe 9 decembrie 2021, echipa Godlike.host a adăugat acest steguleț la toate serverele Minecraft, așa că trebuie doar să vă asigurați că aveți acest steguleț în comanda de pornire. De asemenea, asigurați-vă că reporniți serverul, dacă nu ați făcut-o recent, deoarece repornirea serverului aplică steagul la pornire. Pentru a verifica dacă aveți stegulețul, mergeți la panoul Minecraft, apoi mergeți la fila de pornire și asigurați-vă că stegulețul se află în comanda de pornire, ar trebui să fie înainte de textul -jar. De asemenea, este recomandat să actualizați la cea mai recentă versiune 1.17.1 furnizată de serverul jar. Paper, Fabric și alte jar-uri de server au lansat compilări ale versiunii 1.17.1, inclusiv soluția de remediere a exploit-ului. Consultați secțiunea de actualizare de la sfârșitul acestui document pentru mai multe informații.
Serverele 1.12 - 1.16.5
PaperMC a lansat jar-uri cu corecția pentru exploit. Aceste jars nu se află pe site-ul lor, aici sunt linkuri directe către ele (De asemenea, le puteți găsi în selectorul nostru de tip de server în fila de setări):
Declarație oficială din partea PaperMC: Toate construcțiile vechi nu sunt acceptate. Este posibil să existe unele probleme de consolă sau alte probleme pe unele servere. Descărcați și utilizați pe propriul risc. Legături pentru build-uri vechi:
- Paper 1.16.5 Build #792 - Click aici pentru a descărca
- Paper 1.15.2 Build #392 - Faceți clic aici pentru a descărca
- Paper 1.14.4 Build #244 - Click aici pentru a descărca
- Paper 1.13.2 Build #656 - Faceți clic aici pentru a descărca
- Paper 1.12.2 Build #1619 - Click aici pentru a descărca
Dacă faceți actualizarea la una dintre construcțiile enumerate mai sus, nu este nevoie să aplicați corecția de semnalizare pe care o enumerăm mai jos.
Dacă totuși doriți să aplicați remedierea, urmați pașii enumerați mai jos:
Dacă, din orice motiv, serverul dvs. nu pornește după aplicarea corecției sau dacă doriți să eliminați corecția, faceți clic pe Remove (Înlătură).
Dacă, din orice motiv, trebuie să faceți acest lucru manual, urmați pașii de mai jos:
Descărcați acest fișier în directorul principal în care rulează serverul dvs. Pentru a face acest lucru, puteți accesa URL-ul și se va deschide un fișier .xml în browserul dvs., va trebui să faceți clic dreapta, apoi faceți clic pe "Save as" și apoi salvați fișierul .xml. De asemenea, vă puteți îndrepta către File Manager de pe panoul Minecraft, faceți clic pe butonul Download from URL (Descărcare de la URL ) și lipiți următoarea adresă URL: https://launcher.mojang.com/v1/objects/02937d122c86ce73319ef9975b58896fc1b491d1/log4j2_112-116.xml, iar acest lucru va descărca fișierul în directorul de pornire al serverului dvs. După ce fișierul se află pe server, mergeți la fila de pornire din panoul Minecraft și adăugați următoarele argumente JVM la steagurile de pornire. Pentru a face acest lucru, mergeți la fila startup și adăugați următoarele argumente JVM în caseta startup flags: -Dlog4j.configurationFile=log4j2_112-116.xml. După ce ați adăugat argumentele JVM, reporniți serverul. De asemenea, este recomandat să actualizați la cea mai recentă versiune oferită de jar-ul serverului dumneavoastră. Majoritatea dezvoltatorilor și-au exprimat intenția de a nu actualiza cele mai vechi versiuni ale jarurilor de server pentru a include soluția de exploatare, dar Paper a publicat deja o nouă versiune 1.16.5 (Build #792) care include soluția de remediere a erorii. Consultați secțiunea de actualizare de la sfârșitul acestui document pentru mai multe informații.
Serverele 1.7 - 1.11.2
PaperMC a lansat borcane cu corecția pentru exploit. Aceste jars nu se află pe site-ul lor, dar iată linkurile directe către ele (le puteți găsi, de asemenea, în selectorul nostru de tip de server din fila de setări)
Declarație oficială din partea PaperMC: Toate build-urile vechi nu sunt acceptate. Este posibil să existe unele probleme de consolă sau alte probleme pe unele servere. Descărcați și utilizați pe propriul risc. Legături pentru build-uri vechi:
- Paper 1.11.2 Build #1105 - Click aici pentru a descărca
- Paper 1.10.2 Build #917 - Faceți clic aici pentru a descărca
- Paper 1.9.4 Build #774 - Click aici pentru a descărca
- Paper 1.8.8.8 Build #444 - Click aici pentru a descărca
Dacă faceți actualizarea la una dintre construcțiile enumerate mai sus, nu este nevoie să aplicați corecția de semnalizare pe care o enumerăm mai jos.
Dacă totuși doriți să o aplicați (din testele noastre, aceste stegulețe nu funcționează cu Paper 1.7 - 1.11.2 și serverul dvs. nu va porni dacă le utilizați), puteți urma acești pași:
Descărcați acest fișier în directorul principal în care rulează serverul dvs. Pentru a face acest lucru, puteți accesa URL-ul și se va deschide un fișier .xml în browserul dvs., va trebui să faceți clic dreapta, apoi faceți clic pe "Save as" și apoi salvați fișierul .xml. De asemenea, vă puteți îndrepta către File Manager de pe panoul Minecraft, faceți clic pe butonul Download from URL (Descărcare de la URL ) și lipiți următoarea adresă URL: https://launcher.mojang.com/v1/objects/dd2b723346a8dcd48e7f4d245f6bf09e98db9696/log4j2_17-111.xml, iar acest lucru va descărca fișierul în directorul de pornire al serverului dvs. După ce fișierul se află pe server, mergeți la fila de pornire din panoul Minecraft și adăugați următoarele argumente JVM la steagurile de pornire. Pentru a face acest lucru, mergeți la fila startup și adăugați următoarele argumente JVM în caseta startup flags: -Dlog4j.configurationFile=log4j2_17-111.xml. După ce ați adăugat argumentele JVM, reporniți serverul.
Serverele 1.6 și inferioare
Serverele care rulează versiunile 1.6 și inferioare nu sunt afectate de acest exploit.
Adăugarea stegulețului în secțiunea startup flags
Exemplu de adăugare a stegulețului la comanda de pornire (a se vedea textul evidențiat). Nu uitați că trebuie să adăugați indicatorul adecvat care corespunde versiunii serverului Minecraft.
IMPORTANT
În mod implicit, această opțiune este setată pentru toate serverele și este posibil să nu fie afișată ca xms și xmx
Actualizarea jar-ului serverului la cea mai recentă versiune
:white_check_mark: Spigot - Vezi aici!
:white_check_mark: Paper - Descărcați aici - Corecția exploit este în Build # 64 sau mai nou pentru MC 1. 18 / Build #398 sau mai nou pentru MC 1.17.1. Paper a făcut, de asemenea, backportul remedierii către MC 1.16.5 cu Build #792, care poate fi găsit aici. Recomandăm utilizarea Build #399 sau mai nou pentru MC 1.17.1 și Build #67 sau mai nou pentru MC 1.18-1.18.1, aceste build-uri sunt cele care includ o bibliotecă Log4J actualizată (biblioteca care a avut exploit pe versiunile mai vechi).
Construcțiile PaperMC care includ remedierea exploit-ului:
- Paper 1.18.1.1 - Alegeți cea mai recentă ediție de pe site și descărcați-o: PaperMC 1.18.1 Builds
- Paper 1.17.1 - Alegeți cea mai recentă versiune de pe site și descărcați-o: PaperMC 1.17.1 Builds
- Paper 1.16.5 Build #792 - Faceți clic aici pentru a descărca
- Paper 1.15.2 Build #392 - Faceți clic aici pentru a descărca
- Paper 1.14.4 Build #244 - Faceți clic aici pentru a descărca
- Paper 1.13.2 Build #656 - Click aici pentru a descărca
- Paper 1.12.2 Build #1619 - Click aici pentru a descărca
- Paper 1.11.2 Build #1105 - Click aici pentru a descărca
- Paper 1.10.2 Build #917 - Click aici pentru a descărca
- Paper 1.9.4 Build #774 - Click aici pentru a descărca
- Paper 1.8.8.8 Build #444 - Click aici pentru a descărca
:white_check_mark: Purpur - Descărcați aici - Corecția exploit este în Build #1432 sau mai nou pentru MC 1.18.
:white_check_mark: Waterfall - Descărcați aici - Corecția pentru exploit se află în Build #467 sau mai nou. Recomandăm utilizarea Build #468 sau a unei versiuni mai noi, care include o bibliotecă Log4J actualizată (biblioteca care a avut exploit pe versiunile mai vechi).
:white_check_mark: Velocity - Descărcați aici - Corecția pentru exploit este în Build #97 sau mai nou. Vă recomandăm să utilizați Build #98 sau o versiune mai nouă care include o bibliotecă Log4J actualizată (biblioteca care a avut exploit pe versiunile mai vechi).
:white_check_mark: Forge - Descărcați aici - Forge a actualizat cele mai populare versiuni pentru a aplica corecția exploit-ului. Următoarele versiuni Forge (sau versiuni mai noi) sunt cele care conțin remedierea exploit-ului:
Forge a publicat un articol amplu care detaliază pașii de remediere a exploit-ului, fie prin actualizarea la cea mai recentă versiune, fie prin aplicarea unui indicator. Puteți citi mai multe aici.
- 1.18-38.0.17 sau mai nou
- 1.17.1-37.1.1.1 sau mai nou
- 1.16.5-36.2.20 sau mai nou
- 1.15.2-31.2.56 sau mai nou
- 1.14.4-28.2.25 sau mai nou
- 1.13.2-25.0.222 sau mai nou
- 1.12.2-14.23.5.2857 sau mai nou
Ar trebui să puteți descărca unul dintre borcanele de mai sus (asigurați-vă că descărcați un build cu corecția), rulați .jar-ul pe mașina dvs., faceți clic pe crearea fișierelor server, apoi arhivați/zippați toate fișierele server care au fost generate și încărcați-le pe serverul dvs.
De asemenea, vă puteți actualiza serverul utilizând selectorul nostru de tip de server. Trebuie doar să mergeți la pagina de setări a serverului dvs., apoi selectați jar-ul pe care doriți să îl descărcați și selectați cea mai recentă versiune. Asigurați-vă că faceți referire la numărul de construcție listat mai sus, astfel încât să știți că descărcați o construcție care include corecția. De asemenea, puteți utiliza butonul Update to the latest build (Actualizare la cea mai recentă versiune ) dacă ați folosit în trecut selectorul nostru de tip de server.
Este recomandat să executați o copie de rezervă a serverului înainte de a face actualizări sau modificări. Consultați ghidul nostru despre Cum funcționează copiile de rezervă și cum să le folosiți.
Cum să verificați dacă serverul dvs. este vulnerabil
Conform echipei PaperMC: Pentru a testa dacă patch-ul funcționează, rulați say ${date:YYYY} în consolă, ar trebui să iasă aceeași comandă și nu 2021. Dacă emite 2021, nu ați rezolvat problema în mod corespunzător.
Dacă aveți nevoie de ajutor pentru a vă actualiza serverul, vă rugăm să consultați ghidul nostru de actualizare și #open-ticket.
