E a Minecraft lançou uma correção para a vulnerabilidade crítica do Log4j. Confira os detalhes dessa falha que afeta os servidores desse jogo.
O desenvolvedor de videogames sueco Mojang Studios lançou uma atualização de segurança de emergência do Minecraft para resolver um bug crítico na biblioteca de registro Java Apache Log4j usada pelo cliente Java Edition do jogo e servidores multijogador.
Minecraft lançou uma correção para a vulnerabilidade crítica do Log4j
Sim. A Minecraft lançou uma correção para a vulnerabilidade crítica do Log4j. A vulnerabilidade foi corrigida com o lançamento do Minecraft: Java Edition 1.18.1, que agora está sendo implementado para todos os clientes.
“Esta versão corrige um problema crítico de segurança para servidores multiplayer, muda a forma como a névoa do mundo funciona para tornar o mundo mais visível e corrige alguns outros bugs”, disse a empresa hoje.
“Se você estiver executando um servidor multijogador, nós o encorajamos a atualizar para esta versão o mais rápido possível.”
Para atualizar para a versão corrigida, aqueles que usam o cliente de jogo oficial da Mojang são aconselhados a fechar todos os jogos em execução e instâncias do Minecraft Launcher e reiniciar o Launcher para instalar o patch automaticamente.
Os jogadores que usam clientes modificados do Minecraft e inicializadores de terceiros devem entrar em contato com seus fornecedores terceirizados para obter uma atualização de segurança.
Aqueles que hospedam seus próprios servidores Minecraft: Java Edition terão que passar por diferentes etapas dependendo da versão que estão usando, conforme descrito aqui.
Player safety is the top priority for us. Unfortunately, earlier today we identified a security vulnerability in Minecraft: Java Edition.
The issue is patched, but please follow these steps to secure your game client and/or servers. Please RT to amplify.https://t.co/4Ji8nsvpHf
— Minecraft (@Minecraft) December 10, 2021
O bug, agora rastreado como CVE-2021-44228 e apelidado de Log4Shell ou LogJam, é uma falha de execução remota de código (RCE) encontrada na onipresente biblioteca de registro baseada em Java Apache Log4j e relatada pela equipe de segurança do Alibaba Cloud.
Ele impacta as configurações padrão de vários frameworks Apache, incluindo Apache Struts2, Apache Solr, Apache Druid e Apache Flink, usados por incontáveis produtos de software empresarial da Apple, Amazon, Cloudflare, Twitter, Steam e outros.
Os invasores já estão fazendo varredura em massa na Internet [1, 2] em busca de sistemas vulneráveis e, de acordo com um comunicado de segurança do CERT NZ, eles também estão explorando-o ativamente em estado selvagem.
O mesmo foi confirmado pelo Diretor de Engenharia – Segurança da Coalizão, Tiago Henriques, e pelo especialista em segurança Kevin Beaumont.
O Apache já lançou o Log4j 2.15.0 para resolver esta vulnerabilidade de gravidade máxima. CVE-2021-44228 também pode ser atenuado em versões anteriores (2.10 e posteriores) definindo a propriedade do sistema “log4j2.formatMsgNoLookups” como “true” ou removendo a classe JndiLookup do caminho de classe.
A empresa de segurança Lunasec destacou a gravidade dos ataques CVE-2021-44228 hoje, dizendo que “muitos, muitos serviços são vulneráveis a esta exploração. Serviços em nuvem como Steam, Apple iCloud e aplicativos como Minecraft já foram considerados vulneráveis.”
“Qualquer pessoa que use o Apache Struts está provavelmente vulnerável. Já vimos vulnerabilidades semelhantes exploradas antes em violações como a violação de dados Equifax de 2017”, acrescentaram.
