Lobby Schwerwiegende Log4J Sicherheitslücke

[DJ_1420]

Hallo,

ich wollte euch auf die Sicherheitslücke im Log4J-Paket (https://www.lunasec.io/docs/blog/log4j-zero-day/) aufmerksam machen. Aus diesem Grund haben Mineplex, 2b2t und andere ihr Netzwerk bis auf Weiteres offline genommen.


Ein guter Kommentar auf HN hat das ganz gut zusammengefasst: "This exploit is quite severe on Minecraft Java Edition. Anyone can send a chat message which exploits everyone on the server and the server itself, because every chat message is logged. It's been quite a rollercoaster over the past few hours, working out the details of how to protect members of servers, and informing players (many of whom uses modded clients that don't receive the automatic Mojang patches) of how to protect themselves. Some of the major servers like 2b2t and Mineplex have shut down, and larger servers that haven't shut down yet are pure chaos right now."


Wie wird hier Seitens des Admin-Teams reagiert?

VG DJ_1420

 

[ysl3000]

Hallo,

ich wollte euch auf die Sicherheitslücke im Log4J-Paket (https://www.lunasec.io/docs/blog/log4j-zero-day/) aufmerksam machen. Aus diesem Grund haben Mineplex, 2b2t und andere ihr Netzwerk bis auf Weiteres offline genommen.


Ein guter Kommentar auf HN hat das ganz gut zusammengefasst: "This exploit is quite severe on Minecraft Java Edition. Anyone can send a chat message which exploits everyone on the server and the server itself, because every chat message is logged. It's been quite a rollercoaster over the past few hours, working out the details of how to protect members of servers, and informing players (many of whom uses modded clients that don't receive the automatic Mojang patches) of how to protect themselves. Some of the major servers like 2b2t and Mineplex have shut down, and larger servers that haven't shut down yet are pure chaos right now."


Wie wird hier Seitens des Admin-Teams reagiert?

VG DJ_1420

Keine Sorge, hatten wir bereits gestern Abend auf dem Schirm. Vielleicht hast du die 2 ausserplanmäßigen Restarts der Subserver mitbekommen.
Sollte alles auf unseren Servern behoben sein.

Um die Clientseite müsst ihr euch selbst kümmern. Einfach den Launcher Neustarten und schon habt ihr eine gefixte version. Vorausgesetzt ihr habt natürlich nen Vanilla Profil ausgewählt.

 

[DJ_1420]

Keine Sorge, hatten wir bereits gestern Abend auf dem Schirm. Vielleicht hast du die 2 ausserplanmäßigen Restarts der Subserver mitbekommen.
Sollte alles auf unseren Servern behoben sein.

Um die Clientseite müsst ihr euch selbst kümmern. Einfach den Launcher Neustarten und schon habt ihr eine gefixte version. Vorausgesetzt ihr habt natürlich nen Vanilla Profil ausgewählt.

Perfekt. Vielen Dank für die Klarstellung

 

[christian200099]

Ich habe gelesen, dass man in der JVM flag im Launcher dies hinzufügen muss, um auf der sicheren Seite zu sein: "-Dlog4j2.formatMsgNoLookups=true"
Ob es wirklich hilft, bin ich mir nicht sicher.
Ich wollte es nur angesprochen haben.

 

[DJ_1420]

@christian200099 das ist sonst der temporary fix für alle Clients, die kein Update bisher erhalten haben. (z.B. Modpacks o.Ä.)

 

[christian200099]

Richtig. Ich wollte es dennoch mal ansprechen, da viele auch modded Clients haben

 

[baerin]

Ich misch mich mal ein, obwohl ich nicht wirklich Ahnung habe. Mein Schwiegersohn (ich kenn jemanden) arbeite bei der deutsche Bank ziemlich oben im it-bereich. er sagt es sei clientseitig nur noch die 1.18.1 sicher. was mich zu der frage bringt, kann ich damit auch störungsfrei auf craftstuebchen spielen?

 

[derSola]

Ich misch mich mal ein, obwohl ich nicht wirklich Ahnung habe. Mein Schwiegersohn (ich kenn jemanden) arbeite bei der deutsche Bank ziemlich oben im it-bereich. er sagt es sei clientseitig nur noch die 1.18.1 sicher. was mich zu der frage bringt, kann ich damit auch störungsfrei auf craftstuebchen spielen?

Störungsfrei wird ViaVersion (so heißt das, dass man mit anderen MinecraftVersionen als der Serversoftware joinen kann) nie funktionieren - aber du kannst gerne berichten, wie es läuft - vielleicht sind wir dann schneller mit den Updates auf 1.18

 

[ysl3000]

Ich misch mich mal ein, obwohl ich nicht wirklich Ahnung habe. Mein Schwiegersohn (ich kenn jemanden) arbeite bei der deutsche Bank ziemlich oben im it-bereich. er sagt es sei clientseitig nur noch die 1.18.1 sicher. was mich zu der frage bringt, kann ich damit auch störungsfrei auf craftstuebchen spielen?

Das stimmt so nicht, Mojang hat updates für die älteren Versionen gebracht.

Important Message: Security vulnerability in Java Edition

Follow these steps to secure your game

www.minecraft.net

 

[baerin]

Das stimmt so nicht, Mojang hat updates für die älteren Versionen gebracht.

das klingt echt gut !! danke ysl

 

[ysl3000]

Da fragt man sich tatsächlich wie lange ihr braucht um auch nur annähernd in Griffweite der 1.18.1 zu kommen, wenn ihr immernoch aufer 1.17.x hockt.

Andere Server sind doch auch schon seit Wochen auf der 1.18 unterwegs, was dauert denn da so lange ?

Ob die Server nativ auf der 1.18 sind, ist eine andere Sache. Nur weil md_5 Spigot 1.18.0 und 1.18.1 als stabil definiert, heißt es nicht, dass sie stabil sind. Da vertraue ich dem Paper Team mehr als md_5. Das Paper Team warnt noch davor. Ich selbst warte mindestens bis zur .1 Version bzw. mehrere Wochen. Das hat folgende Gründe.

1. Viele public Plugins sind noch nicht kompatibel.
2. Die anfänglichen Versionen der Server Software sind nicht stabil genug.

Des weiteren müssen wir ebenfalls auf unserem Test System sicherstellen, dass das Update und die Plugins alle miteinander funktionieren.
Aus Zeitgründen fange ich mit dem ganzen frühestens Ende der Woche an.