茶馆周报沙盒/草稿纸:修订间差异
第21行: | 第21行: | ||
== MC相关 == |
== MC相关 == |
||
=== |
=== Log4j2 0day RCE 漏洞 === |
||
Log4j2是Java开发常用的日志框架。此次由阿里云安全团队报告([https://help.aliyun.com/noticelist/articleid/1060971232.html 通报原文])的远程代码执行漏洞(RCE,编号{{cd|CVE-2021-44228}})触发条件低,危害大,CVSS评分为最高分10.0。 |
|||
对于Minecraft来说,攻击者可以通过'''游戏内聊天'''等方法,使游戏在日志中记录如{{cd|${jndi:ldap://<url>}}}等的可被利用的字符串时在其他设备上远程执行代码。可以看到,触发条件真的很低。 |
|||
Java涉及到各种服务的方方面面(我们暂且不提3 Million Devices的事情),就算是游戏方面,也会有很多游戏的后端是Java编写的,只是没公开。请尽快排查应用程序是否引入了Apache的log4j-core,若存在依赖引入,且在受影响版本范围内(Apache Log4j 2.x < 2.15.0),则可能存在漏洞影响,须升级所有相关应用到最新的[https://logging.apache.org/log4j/2.x/download.html log4j-2.15.0(下载页面)]。此外也有一些措施,请参见通报原文。 |
|||
本站({{SITENAME}})的排查结果是,此漏洞不影响本站的任何公开应用程序。 |
|||
== 未名残章更新专栏 == |
== 未名残章更新专栏 == |
2021年12月11日 (六) 18:40的版本
欢迎来到茶馆周报。
本周快照
Java版
本周更新了正式版Java版1.18.1,同时更新了以下发布候选:
- 1.18.1-rc1。修复了3个漏洞。
- 1.18.1-rc2。修复了1个漏洞。
- 1.18.1-rc3。修复了1个严重安全性漏洞(即下文的#Log4j 0day CVE 漏洞)。
然后我们就迎来了1.18.1。上周发了个预发布版,这周发了三个发布候选就出来了。
基岩版
本周更新了测试版1.18.10.22。
此版本同步了一些Java版的特性,主要是Java版上对纹理的更改。并日常修复了一些漏洞。
此外由于游戏质量问题,此版本并未发布到Windows平台。
MC相关
Log4j2 0day RCE 漏洞
Log4j2是Java开发常用的日志框架。此次由阿里云安全团队报告(通报原文)的远程代码执行漏洞(RCE,编号CVE-2021-44228
)触发条件低,危害大,CVSS评分为最高分10.0。
对于Minecraft来说,攻击者可以通过游戏内聊天等方法,使游戏在日志中记录如${jndi:ldap://<url>
}等的可被利用的字符串时在其他设备上远程执行代码。可以看到,触发条件真的很低。
Java涉及到各种服务的方方面面(我们暂且不提3 Million Devices的事情),就算是游戏方面,也会有很多游戏的后端是Java编写的,只是没公开。请尽快排查应用程序是否引入了Apache的log4j-core,若存在依赖引入,且在受影响版本范围内(Apache Log4j 2.x < 2.15.0),则可能存在漏洞影响,须升级所有相关应用到最新的log4j-2.15.0(下载页面)。此外也有一些措施,请参见通报原文。
本站(存档计划)的排查结果是,此漏洞不影响本站的任何公开应用程序。
未名残章更新专栏
大家好这里是湖远星。
存档计划相关
MCW相关
将基岩版开发者文档重定向
译名相关
今天我们的Sculk Sensor译名定了吗
在本周,我们的Sculk Sensor译名依旧未定,且是目前为止唯一未定的。
自20w49a(2020年12月2日)加入Sculk Sensor以来,截至2021年12月12日已经过了375天。
Sculk相关内容被放到了1.19——所以要等到1.19快照发布时才可能确定译名。
对石头制品译名的一些微调
茶馆相关
你知道吗
评论