log4j, JNDI эксплойт. Насколько опасен?

Пошли какие то новости о новом эксплойте в java
https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-44228/

Насколько это опасно для серверов майнкрафта и как исправить?

 

Ну на столько что твой сервак могут выкачать а тебе лично могут ратник на ПК залить.
Фикса на данный момент НОРМАЛЬНОГО не существует
есть лишь огрызок. Нужно загрузить это https://vk.com/away.php?to=https://...1975910/918816730061606912/log4j2.xml&cc_key=
Вставить в папку со start.sh и вставить в запускатор -Dlog4j.configurationFile=log4j2.xml

Почему этот фикс херня? - все цвета в консоли

 

Очень опасен. Можно заразить не только твою машину а всех твоих игроков.

 

Обновляй ядро, либо ставить фикс, который запретит выполнять эту команду.
https://www.spigotmc.org/resources/log4jexploit-fix.98243/

 

Если я не ошибаюсь - серверную часть оно не спасёт

 

Тоже не особо шарю, один фиг давно не интересен румк. Но этот эксплоит очень не хилую шумиху за столько лет поднял)

 

Paper уже выпустили фикс

 

на саму последную версию?

 

Обычным юзерам (игрокам) нужно что-то предпринимать? Ну к примеру у меня на компе джава 8, нужно ли обновляться? Серверов не держу уже, в майн не катаю на серваках.

 

https://www.minecraft.net/ru-ru/art...urity-vulnerability-java-edition?ref=launcher

 

Это когда такое появилось, сколько я спал?

 

Такое себе. Только для новых версий нормальный, а для легаси довольствуемся серотой логов

 

Вроде вчера в сеть вылилось

 

Spigot для всех версий выпустила фикс

 

Подробный фикс, несколько вариантов, без "сероты логов"
https://forum.mcmodding.ru/threads/...ragivajuschaja-mnogie-versii-minecraft.30543/

 

Могут рут права получить к машинке, полный доступ по ssh, если сервер под рутом запущен.