İsveçli video oyunu geliştiricisi Mojang Studios, oyunun Java Edition istemcisi ve çok oyunculu sunucuları tarafından kullanılan Apache Log4j Java günlük kitaplığındaki kritik bir hatayı gidermek için acil bir Minecraft güvenlik güncellemesi yayınladı.
Güvenlik açığı, Minecraft: Java Sürümü 1.18.1, şimdi tüm müşterilere kullanıma uzaıyor.
Şirket bugün yaptığı açıklamada, “Bu sürüm, çok oyunculu sunucular için kritik bir güvenlik sorununu gideriyor, dünya sisi’nin dünyayı daha görünür hale getirmek için nasıl çalıştığını değiştiriyor ve diğer birkaç hatayı düzeltiyor.” dedi.
“Çok oyunculu bir sunucu çalıştırıyorsanız, bu sürüme en kısa sürede yükseltmenizi şiddetle tavsiye ederiz.”
Yamalı sürüme yükseltmek için, Mojang’ın resmi oyun istemcisini kullananların, çalışan tüm oyun ve Minecraft Launcher örneklerini kapatmaları ve düzeltme ekini otomatik olarak yüklemek için Başlatıcıyı yeniden başlatmaları önerilir.
Değiştirilmiş Minecraft istemcilerini ve üçüncü taraf başlatıcıları kullanan oyuncular, bir güvenlik güncellemesi için üçüncü taraf sağlayıcılarına ulaşmalıdır.
Kendi Minecraft’larını barındıranlar: Java Edition sunucuları, kullandıkları sürüme bağlı olarak farklı adımlardan geçmek zorunda kalacak, burada belirtildiği gibi.
Oyuncu güvenliği bizim için en önemli önceliktir. Ne yazık ki, bugün erken saatlerde Minecraft: Java Edition’da bir güvenlik açığı belirledik.
Sorun düzeltildi, ancak oyun istemcinizin ve/veya sunucularınızın güvenliğini sağlamak için lütfen bu adımları izleyin. Lütfen rt yükseltmek için.https://t.co/4Ji8nsvpHf
— Minecraft (MinecraftRoyal) 10 Aralık 2021, Aralık 2021, Bu
Kimlik doğrulaması olmayan RCE güvenlik açığından etkin olarak yararlanıldı
Hata, şimdi olarak izlenir ÖZGEÇMIŞ-2021-44228 ve Log4Shell veya LogJam olarak adlandırılan, her yerde bulunan Apache Log4j Java tabanlı günlük kitaplığında bulunan ve Alibaba Cloud’un güvenlik ekibi tarafından bildirilen bir uzaktan kod yürütme (RCE) kusurudur.
Apache Struts2, Apache Solr, Apache Druid ve Apache Flink dahil olmak üzere birden fazla Apache çerçevesinin varsayılan yapılandırmalarını etkiler. sayısız kurumsal yazılım ürünü Apple, Amazon, Cloudflare, Twitter, Steam ve diğerlerinden.
Saldırganlar interneti toplu olarak tarıyor [1, 2] savunmasız sistemler için ve CERT NZ güvenlik danışma belgesi, onlar da aktif vahşi sömürüyor.
Bu da tarafından onaylandı Koalisyon Mühendislik Direktörü – Güvenlik Tiago Henriques ve güvenlik uzmanı Kevin Beaumont.
Apache çoktan serbest bıraktı. Log4j 2.15.0 bu en yüksek önem derecesi güvenlik açığını gidermek için. CVE-2021-44228, önceki sürümlerde (2.10 ve sonraki sürümler) “log4j2.formatMsgNoLookups” sistem özelliğini “true” olarak ayarlayarak veya JndiLookup sınıfını sınıf yolundan kaldırarak da azaltılabilir.
Güvenlik şirketi Lunasec, bugün erken saatlerde CVE-2021-44228 saldırılarının ciddiyetinin altını çizdi. atasözü “birçok hizmet bu istismara karşı savunmasızdır. Steam, Apple iCloud ve Minecraft gibi uygulamalar gibi bulut hizmetlerinin zaten savunmasız olduğu tespit edildi.”
“Apache Struts kullanan herkes muhtemelen savunmasızdır. Daha önce 2017 Equifax veri ihlali gibi ihlallerde benzer güvenlik açıklarından yararlanıldıklarını gördük.” diye eklediler.