Log4j의 치명적인 0일 취약성에 따라 지금 알고 있는 일들을 정리하고 무슨 일이 일어났는지(Minecraft 중심)
사실 17일째는 내가 맡았는데 일주일의 여가가 있어서 급히 들어갔다.
애드벤트 캘린더에 맞지 않는 기사를 선택했지만, 급하게 쓴 내용이라 많은 양해 부탁드립니다.11일째 힘들지만 12일째 되는 날 기쁜 소식이 기다리고 있습니다!기대해주세요!(자신의 보도가 아직 정해지지 않은 큰 문제 사건)
이 기사는'이제 아는 것'과'무슨 일이 일어났는지'를 간단하게 요약했다.
(특별히 재미있는 정보는 없으니 17일째 일을 기대해 주세요.)
이곳의 정보가 반드시 좋은 것은 아니다.최신 정보를 자주 확인하세요.(Discord 등)
일의 개략을 종합하다.
2021/12/10(JST) 6:48 Spigot에서 긴급 보안 패치를 게시합니다.버전 범위는 1.88.8~1.18입니다.
맞아요. 과거 버전의 백엔드 포트가 포함된 Spigot에서는 지금까지 없었던 업데이트입니다.
↓
자바 기반 Logging 유틸리티'log4j'에서 spigotmc와papermac의 커뮤니티가 심각한 취약성 경고를 알렸고 모든 서버가 조사 때문에 잠시 멈췄다
↓
그러나 일부 커뮤니티 보고서에 따르면 클라이언트(즉 유저측의 Minecraft 호스트)를 공격할 가능성이 있다고 한다.
[Minecraft·중요·희망 확산] Minecraft 1.8~1.18은 모든 사용자에게 알립니다.Minecraft는 매우 심각한 취약성을 발견했다.공격이 시작되었다.현재 어떤 서버도 참가하지 마십시오.서버를 중지하십시오.부디 안전을 확인하고 돌아오십시오. https://t.co/FypiEhclAI — SaziumR (@SaziumR) December 10, 2021
↓
근처에 대소동이 일어났습니다. 일본과 해외뿐만 아니라 다양한 Minecraft 서버가 멈췄습니다
내 컴퓨터 서버 주위 전체에 대한 주의 불러일으키기#고등어 정지pic.twitter.com/2YidgCyiJh
-운모(@tsukkkkkun)December 9, 2021
↓
문제는 마인크래프트뿐만 아니라 스팀 등에서도 발생한다.사태 심각
↓
MojangStudio는 1.18(동굴과 절벽: 부분 II)~1.12.2(예방-2)의 전체 버전을 업데이트하였습니다.br/>
이것도 상당히 심각한 이상 사태
↓
Mojang 이후 수정판 1.18.1(RCE 남용 등 여러 문제 수정) 및 各種適切な対応として『IMPORTANT MESSAGE: SECURITY VULNERABILITY IN JAVA EDITION』← 현재
공격의 내용
출력은 공격 조건이 있는 로그를 기록합니다. 서버라면 연결된 임의의 사용자 등에서 임의의 코드를 원격으로 두드릴 수 있습니다
GitHubであるLog4jのバグの修正に関するPR에서 이런 취약성을 보고했지만 이미 초밥이 되었다.순식간에 드문드문
지금 알고 있는 것
- 1.18.1~1.12.2의 허브 고객이 모두 대응하기 때문에 당분간 안전
- 비공식 클라이언트(LunerClient, Badlion Client 등 비공식 클라이언트)의 대응은 다르다
- LunerClient 및 Badlion Client 대응
- Optine Forge 미확인
- 부정확한 문자열은 지도를 나누어 주는 명령 블록 등에서도 유효합니까?(미검증)
- poc(개념증명)는 Log4j가 고치지 않고 나온 시말...(진짜 안 좋은데)
-
あるLog4Jのバグ修正PR 수정 중 눈에 띄는 모습
- 이 문제는 보름 전부터 보고되었지만 수정되지 않았다.
- FPS 게임회사 같은데
- 이 문제는 Minecraft Java Edition에서만 발생
- Minecraft Bedrock Edition은 후속 서버 소프트웨어 "Pocket Mine-MP"와 아무런 관련이 없습니다.
- 오픈 소스 세계의 최신 보안 취약점을 모은 데이터베이스GitHub Advisory Database 순위
重大な重要度, CVE 번호 할당CVE-2021-44228
- Minecraft Java Edition 역사상 가장 큰 보안 취약점(취약성)
가장 좋아하는 Minecraft Java Edition이 이렇게 돼서 힘들지만 빨리 원래의 Minecraft 서버 근처로 돌아가고 싶어요.p>
내일은 さいなさん(@MikuroXina)의 <단지 두 채널의 노래 합성>입니다.
일주일 가까이 극한 개발 고등어 어드벤트 캘린더 2021을 열었고, 남은 2주 동안 개성 넘치는 기사가 기다리고 있다.기대하세요!
Enjoy!
지금 알고 있는 것
- LunerClient 및 Badlion Client 대응
- Optine Forge 미확인
あるLog4Jのバグ修正PR 수정 중 눈에 띄는 모습
- 이 문제는 보름 전부터 보고되었지만 수정되지 않았다.
- FPS 게임회사 같은데
- Minecraft Bedrock Edition은 후속 서버 소프트웨어 "Pocket Mine-MP"와 아무런 관련이 없습니다.
重大な重要度, CVE 번호 할당CVE-2021-44228내일은 さいなさん(@MikuroXina)의 <단지 두 채널의 노래 합성>입니다.
Reference
이 문제에 관하여(Log4j의 치명적인 0일 취약성에 따라 지금 알고 있는 일들을 정리하고 무슨 일이 일어났는지(Minecraft 중심)), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/merunno/items/827362383fcd2bc3aed1텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
