El desarrollador sueco de videojuegos Mojang Studios , acaba de lanzar una actualización de seguridad de emergencia para Minecraft, en la cual se aborda un error crítico en la biblioteca de registro de Java Apache Log4j utilizada por el cliente Java Edition del juego y de los servidores multijugador.
Afortunadamente, la vulnerabilidad se ha solucionado con el lanzamiento de Minecraft: Java Edition 1.18.1 , actualmente se está implementado para todos los clientes. Esta versión viene a solucionar el problema critico de seguridad para los servidores de multijugador, pero además, la compañía también aprovecho para solucionar un par de errores más que estaban presentes.
Minecraft recomienda actualizar ya
Actualmente, la compañía detrás de Minecraft, está pidiendo a todos sus usuarios que utilizan un servidor multijugador que actualicen su versión, de está forma, se solucionará el problema de seguridad.
«Si está ejecutando un servidor multijugador, le recomendamos encarecidamente que actualice a esta versión lo antes posible».
Para actualizar a la versión parcheada, se recomienda a aquellos que usan el cliente de juego oficial de Mojang que cierren todos los juegos en ejecución y las instancias de Minecraft Launcher y reinicien el Launcher para instalar el parche automáticamente. Mientras que los jugadores que usan clientes de Minecraft modificados y lanzadores de terceros deben comunicarse con sus proveedores externos para obtener una actualización de seguridad.
Aquellos que alojan sus propios servidores Minecraft: Java Edition tendrán que seguir diferentes pasos según la versión que estén usando, como se describe aquí .
Vulnerabilidad Log4Shell o LogJam
El error, ahora registrado como CVE-2021-44228 y denominado Log4Shell o LogJam, es una falla de ejecución remota de código (RCE) que se encuentra en la omnipresente biblioteca de registros basada en Java Apache Log4j e informada por el equipo de seguridad de Alibaba Cloud.
Afecta las configuraciones predeterminadas de múltiples marcos de Apache, incluidos Apache Struts2, Apache Solr, Apache Druid y Apache Flink, utilizados por innumerables productos de software empresarial como Apple, Amazon, Cloudflare, Twitter, Steam y otros.
Apache ya ha lanzado Log4j 2.15.0 para abordar esta vulnerabilidad de gravedad máxima. CVE-2021-44228 también se puede mitigar en versiones anteriores (2.10 y posteriores) estableciendo la propiedad del sistema «log4j2.formatMsgNoLookups» en «true» o eliminando la clase JndiLookup del classpath.
La empresa de seguridad Lunasec subrayó la gravedad de los ataques CVE-2021-44228 y han mencionado que muchos servicios son vulnerables a este exploit.
Por otra parte, se ha descubierto que los servicios en la nube como Steam, iCloud de Apple y otras aplicaciones como Minecraft son también vulnerables a este exploit. También agregaron que cualquier usuario que utilice Apache Struts es también probablemente vulnerable.
Te recomendamos leer:
Comentarios!
Comentarios