Minecraft code execution bug - sehr wichtig!

[Quaeft]

Guten Tag,
bitte lest euch die folgenden Beiträge durch. In der Minecraft Community ist gerade die Nachricht eines neuen Bugs im Umlauf. Dieser Bug betrifft sowohl Server als auch Client. Seid also bitte vorsichtig.



Important Security Update

There is a critical security bug present in all Minecraft versions, though it currently seems to go back as far as 1.7 . The situation is still developing and more information will come to light soon.
Using chat messages an attacker may be able to execute arbitrary code on both server and other clients connected to the server. This means that your computer could be compromised if you connect(ed) to an untrusted server or a server with untrusted users.

What can I do to fix this?
You can add this JVM flag: -Dlog4j2.formatMsgNoLookups=true argument. (make sure this is before -jar in your server launch script). Though this may not work on older versions. If you are using fabric, Fabric Loader 0.12.9 already has a patch for this.

As the situation is ever evolving, we will provide updates as and when we know more

SciCraft Discord Announcements

Apache log4j Beschreibung

 

[Ultima_Luffy]

+rep

 

[Quaeft]

Um diese Inhalte anzuzeigen, benötigen wir deine Zustimmung zum Setzen von Cookies von Drittanbietern.
Ausführlichere Informationen findest du auf unserer Cookies-Seite.

Cookies von Drittanbietern akzeptieren

 

[Sumpfhytte]

Auf unserem Server ist das Problem schon kurz nach der Meldung heute Nacht gefixt worden - danke an Quaeft und die fleißigen Devs

 

[MarkusRost]

Auf unserem Server ist das Problem schon kurz nach der Meldung heute Nacht gefixt worden - danke an Quaeft und die fleißigen Devs

Beachtet bitte das der Fix für den Server das Problem nicht für euren Client behebt.
Stellt daher sicher das ihr das Launcher Update mit dem Fix habt und keine modifizierten Versionen (Launcher, Forge, Optifine, etc) nutzt bei denen ihr nicht absolut sicher seid, dass das Problem in der genutzten Version dort behoben wurde.

 

[BlackHole]

Wir haben auf dem Server jetzt einen Chatfilter aktiviert, um Clients davor zu schützen. Bestimmt gibt es aber noch weitere Möglichkeiten, bei anderen Spielern einen bestimmten Eintrag im Clientlog zu erzeugen, als nur über den Chat.

 

[GoodKing]

Um diese Inhalte anzuzeigen, benötigen wir deine Zustimmung zum Setzen von Cookies von Drittanbietern.
Ausführlichere Informationen findest du auf unserer Cookies-Seite.

Cookies von Drittanbietern akzeptieren

 

[RikuShadowclaw]

Der Entwickler des Alternativlaunchers MultiMC, peterix, hat auf seinem Discord-Server angegeben, die Issues mit der betroffenen Bibliothek behoben zu haben, indem die Bibliothek auf eine nicht-angreifbare Version aktualisiert wurde. Er gibt an, dass Nutzer von MultiMC damit weitestgehend sicher sein sollen:

 

[BassT1987]

Wenn ich Optifine frisch installiere, dann sollte ich auch sicher sein - oder?

 

[Floxri]

(Screenshot aus dem offiziellen OptiFine-Discord)


So wie ich das lese, ist OptiFine aktuell nicht sicher.

 

[J_M0nst3r]

Forge hat vor ein paar Stunden eine neue version herausgebracht die den Bug beheben sollte, Fabric ebenso

Spoiler: Changelog für Forge 1.17.1-37.1.1

https://maven.minecraftforge.net/net/minecraftforge/forge/1.17.1-37.1.1/forge-1.17.1-37.1.1-changelog.txt

"Build: 1.17.1-37.1.1 - Fri Dec 10 09:43:11 GMT 2021
oriondevelopment:
[CVE-2021-44228]: Update Log4J to fix the security issue inside it. (#8269)"

 

[LEZ2003]

Forge hat vor ein paar Stunden eine neue version herausgebracht die den Bug beheben sollte, Fabric ebenso

Spoiler: Changelog für Forge 1.17.1-37.1.1

https://maven.minecraftforge.net/net/minecraftforge/forge/1.17.1-37.1.1/forge-1.17.1-37.1.1-changelog.txt

"Build: 1.17.1-37.1.1 - Fri Dec 10 09:43:11 GMT 2021
oriondevelopment:
[CVE-2021-44228]: Update Log4J to fix the security issue inside it. (#8269)"

Meinst du die 0.12.10? bei fabric

 

[J_M0nst3r]

Meinst du die 0.12.10? bei fabric

um sicher zu gehen würde ich die neueste Version verwenden (0.12.11)

 

[Marlebella]

Hallo zusammen, leider bin ich technisch nicht so versiert, dass ich das jetzt verstehen könnte. Heißt das jetzt, ich soll MC erstmal ohne Optifine spielen? Und muss ich den Launcher erst neu installieren bevor ich gleich on gehe, oder reicht einfach nur neu starten?
LG

 

[RikuShadowclaw]

Hallo zusammen, leider bin ich technisch nicht so versiert, dass ich das jetzt verstehen könnte. Heißt das jetzt, ich soll MC erstmal ohne Optifine spielen? Und muss ich den Launcher erst neu installieren bevor ich gleich on gehe, oder reicht einfach nur neu starten?
LG

Du startest einfach den Launcher neu. Am Besten spielst du, bis der Entwickler von Optifine einen Fix rausbringt, 1.18.1 ohne Optifine.

 

[Marlebella]

Alles klar, danke für die schnelle und verständliche Antwort

 

[BlackHole]

Wenn man Minecraft über die offiziellen Launcher (den neuen oder den ganz neuen) startet, dann ist man auf der sicheren Seite. Ich habe gerade eine Optifine-Installation von letzter Woche ausprobiert. Diese lädt auch die Datei [...]\.minecraft\assets\log_configs\client-1.12.xml, die beim Start des Launchers aktualisiert wird.

Bei anderen Launchern muss man dann evtl. ein Update laden oder selber die im ersten Beitrag genannte Einstellung bei den Java-Argumenten hinzufügen.

 

[GoodKing]

Um diese Inhalte anzuzeigen, benötigen wir deine Zustimmung zum Setzen von Cookies von Drittanbietern.
Ausführlichere Informationen findest du auf unserer Cookies-Seite.

Cookies von Drittanbietern akzeptieren

 

[Umbaubar]

Ich hab den Launcher über die der Anwendungsverwaltung in Linux installiert (siehe Bild) .sudo apt update /sudo apt upgrade gemacht.
Meldung in der Konsole: Alle Pakete sind aktuell.

Ist der Launcher der originale (Ohne Bug)) und ist der dann sicher ? Ich hab vorherige 1.17 (mit Optifine) Installation aus dem Launcher gelöscht, sudo apt autoclean ausgeführt und spiele jetzt mit der 1.18.1 Neueste Vollversion) ohne optifine und ohne irgendwelche Mods oder Tex Packs. Und wo kann ich die von quaeft beschriebene Flag finden??Im MC Ordner finde ich da nichts.
Zudem habe ich händisch den Ordner mit der 1.17 Version wo Optifine mit installiert war aus dem MC Ordner gelöscht.Im launcher ist somit auch keine Installation mit Optifine drinne zzt. die man auswählen kann.

MfG

 

[Quaeft]

Ich hab den Launcher über die der Anwendungsverwaltung in Linux installiert (siehe Bild) .sudo apt update /sudo apt upgrade gemacht.
Meldung in der Konsole: Alle Pakete sind aktuell.

Ist der Launcher der originale (Ohne Bug)) und ist der dann sicher ? Ich hab vorherige 1.17 (mit Optifine) Installation aus dem Launcher gelöscht, sudo apt autoclean ausgeführt und spiele jetzt mit der 1.18.1 Neueste Vollversion) ohne optifine und ohne irgendwelche Mods oder Tex Packs. Und wo kann ich die von quaeft beschriebene Flag finden??Im MC Ordner finde ich da nichts.
Zudem habe ich händisch den Ordner mit der 1.17 Version wo Optifine mit installiert war aus dem MC Ordner gelöscht.Im launcher ist somit auch keine Installation mit Optifine drinne zzt. die man auswählen kann.

MfG

Wenn man Minecraft über die offiziellen Launcher (den neuen oder den ganz neuen) startet, dann ist man auf der sicheren Seite. Ich habe gerade eine Optifine-Installation von letzter Woche ausprobiert. Diese lädt auch die Datei [...]\.minecraft\assets\log_configs\client-1.12.xml, die beim Start des Launchers aktualisiert wird.

Bei anderen Launchern muss man dann evtl. ein Update laden oder selber die im ersten Beitrag genannte Einstellung bei den Java-Argumenten hinzufügen.

@Umbaubar
Überprüfe mal, ob in der von BlackHole angesprochenen Datei diese Zeile vorkommt.

<PatternLayout pattern="[%d{HH:mm:ss}] [%t/%level]: %msg{nolookups}%n"/>