Уязвимость Log4j [Exploit]

[Thin_Troll]

Найдена критическая уязвимость в библиотеке логгирования, ей подвержены как сервера, так и клиенты.
Что можно сделать с помощью нее поверхносто?
Удалить файлы сервера, либо запустить софт на стороне игрока.

Вам необходимо зарегистрироваться для просмотра изображений-вложений

Фиксы:
1.

Авторизуйтесь для просмотра ссылок.

2. -Dlog4j2.formatMsgNoLookups=true флаг для запуска сервера
кто-то пишет, что флаг помогает, кто-то пишет обратное решайте и проверяйте уже сами, работает он или нет.

BungeeCord не использует данную библиотеку потому не подвержена опасности, в отличии от Velocity/WaterFall
*P.S при этом есть фикс и на банжи -

Авторизуйтесь для просмотра ссылок.

Фиксы для разработчиков:
1.

Авторизуйтесь для просмотра ссылок.

Обновляемая тема со всей информацией:

Авторизуйтесь для просмотра ссылок.

 

[blackgrandstyle]

Час назад тема создана, а спигот и папер + адекватные форки это все пофиксили еще ночью

 

[Anarchist_YT]

Час назад тема создана, а спигот и папер + адекватные форки это все пофиксили еще ночью

А серверы PvP на 1.8 не используют фиксы прямо из ядер, верно?Для них и нужны такие фиксы плагинами.

 

[Thin_Troll]

Информацию по этой проблеме найти очень легко, однако, учитывая, что разногласия запрещают обсуждение эксплойтов и природы разногласий, подобных нашему, которые обычно отслеживаются на предмет такого рода вещей, мы хотим попытаться дать людям как можно больше фору при обновлении и обеспечение безопасности. Имейте в виду, что мы не будем описывать, как работает этот эксплойт, что он делает, или какие-либо детали - будьте уверены, что это очень серьезно, и вам абсолютно необходимо немедленно обновить его. Мы также просим вас не сообщать вводящие в заблуждение, ложные или точные сведения об эксплойте или его исправлениях.

для всех версий java это может быть серьезной проблемой *, но не для тех, кто использует исправленные нами версии бумаги. (Уже исправлено в 1.16.5, 1.17.1 и 1.18)

Это влияет на: 1.8+, обратное портирование должно быть таким же тривиальным, как копирование патча в более старую версию, но у нас нет настройки инструментов сборки для этого, и мы не заинтересованы в том, чтобы попытаться настроить весь набор инструментов для этих версий, поэтому просто обновите . Это также влияет на клиентов, которые не получили последнее исправление Mojang - закройте все программы запуска и клиенты Minecraft и перезапустите их, чтобы получить исправление.

Исправление для серверов, которые не могут обновляться:
1. Загрузите следующий файл (для вашей версии) и поместите его в каталог основного сервера.
2. Запустите сервер с флагом -Dlog4j.configurationFile = log4j2.xml (до -jar)

Nonfunctional ATM1.8-1.9:

Авторизуйтесь для просмотра ссылок.

1.10:

Авторизуйтесь для просмотра ссылок.

1.11:

Авторизуйтесь для просмотра ссылок.

1.12:

Авторизуйтесь для просмотра ссылок.

1.13:

Авторизуйтесь для просмотра ссылок.

1.14:

Авторизуйтесь для просмотра ссылок.

1.15:

Авторизуйтесь для просмотра ссылок.

__________
Информация с дискорда пейпера. переведенная через гугл.

 

[Anarchist_YT]

Информацию по этой проблеме найти очень легко, однако, учитывая, что разногласия запрещают обсуждение эксплойтов и природы разногласий, подобных нашему, которые обычно отслеживаются на предмет такого рода вещей, мы хотим попытаться дать людям как можно больше фору при обновлении и обеспечение безопасности. Имейте в виду, что мы не будем описывать, как работает этот эксплойт, что он делает, или какие-либо детали - будьте уверены, что это очень серьезно, и вам абсолютно необходимо немедленно обновить его. Мы также просим вас не сообщать вводящие в заблуждение, ложные или точные сведения об эксплойте или его исправлениях.

для всех версий java это может быть серьезной проблемой *, но не для тех, кто использует исправленные нами версии бумаги. (Уже исправлено в 1.16.5, 1.17.1 и 1.18)

Это влияет на: 1.8+, обратное портирование должно быть таким же тривиальным, как копирование патча в более старую версию, но у нас нет настройки инструментов сборки для этого, и мы не заинтересованы в том, чтобы попытаться настроить весь набор инструментов для этих версий, поэтому просто обновите . Это также влияет на клиентов, которые не получили последнее исправление Mojang - закройте все программы запуска и клиенты Minecraft и перезапустите их, чтобы получить исправление.

Исправление для серверов, которые не могут обновляться:
1. Загрузите следующий файл (для вашей версии) и поместите его в каталог основного сервера.
2. Запустите сервер с флагом -Dlog4j.configurationFile = log4j2.xml (до -jar)

Nonfunctional ATM1.8-1.9:

Авторизуйтесь для просмотра ссылок.

1.10:

Авторизуйтесь для просмотра ссылок.

1.11:

Авторизуйтесь для просмотра ссылок.

1.12:

Авторизуйтесь для просмотра ссылок.

1.13:

Авторизуйтесь для просмотра ссылок.

1.14:

Авторизуйтесь для просмотра ссылок.

1.15:

Авторизуйтесь для просмотра ссылок.

__________
Информация с дискорда пейпера.

В дискорде бумаги далеко не все сидят.Если бы они как SpigotMC разместили на сайте...

 

[Flaimer]

** DELETED **