Log4J2 JNDI Exploit Fix — защита от опасной уязвимости

Модификация Log4J2 JNDI Exploit Fix представляет собой компактное решение для игрового клиента и сервера, работающее на платформах Fabric и Forge. Её основная задача — устранение критической уязвимости в Log4J2, обнаруженной в декабре 2021 года, которая потенциально может приводить к сбоям, зависаниям или даже выполнению удалённого кода.

Рекомендованные альтернативы Вместо установки этого мода предпочтительнее обновить загрузчик модификаций до следующих версий (при наличии такой возможности):

• Fabric Loader 0.12.12+ для всех версий Minecraft
• Forge 1.18.1-39.0.0+ для Minecraft 1.18.1
• Forge 1.18-38.0.17+ для Minecraft 1.18
• Forge 1.17.1-37.1.1+ для Minecraft 1.17.1
• Forge 1.16.5-36.2.20+ для Minecraft 1.16.5
• Forge 1.15.2-31.2.56+ для Minecraft 1.15.2
• Forge 1.14.4-28.2.25+ для Minecraft 1.14.4
• Forge 1.13.2-25.0.222+ для Minecraft 1.13.2
• Forge 1.12.2-14.23.5.2857+ для Minecraft 1.12.2

Когда стоит использовать этот мод Log4J2 JNDI Exploit Fix становится оптимальным выбором в ситуациях, когда вы используете версии Minecraft от 1.7 до 1.18, не входящие в приведённый выше список, или когда необходимые моды несовместимы с обновлёнными версиями загрузчиков.

Принцип работы Модификация устраняет проблему, отключая опасную функцию удалённого поиска контента в системах логирования, которая в обычных условиях не используется. Без подобной защиты злоумышленники могут создавать вредоносные сообщения в чате, специально оформленные пакеты отключения или другие формы активности, затрагивающие генерацию логов с управляемым пользователем содержимым. Поскольку как клиент, так и сервер ведут логирование, обе стороны подвержены риску в равной степени.

Текущее состояние безопасности Компании Minecraft, CurseForge и разработчики Fabric Loader уже внедрили меры защиты в свои лаунчеры, однако некоторые серверы и старые версии остаются уязвимыми на момент создания этого описания.

Уязвимые системы, нуждающиеся в защите

• Необновлённые серверы Vanilla версией ниже 1.18.1-rc3
• Устаревшие серверы на Fabric или Forge
• Клиенты Fabric или Forge с устаревшими версиями
• Клиенты и серверы Forge версией ниже 1.12

Системы с встроенной защитой (не требуют мода)

• Официальный клиент Vanilla
• Обновлённые клиенты и серверы Fabric (Fabric Loader 0.12.12+)
• Обновлённые клиенты и серверы Forge версии 1.12+
• Клиенты и серверы версии 1.18.1-rc3+
• Любые клиенты и серверы, защищённые вручную согласно официальным рекомендациям Minecraft

Важные ограничения совместимости Мод несовместим с: th> Это обусловлено особенностями модульной инкапсуляции — вместо установки мода используйте аргумент JVM: -Dlog4j2.formatMsgNoLookups=true (работает только для версий 1.17+!)

• Fabric с Loader 0.12.10+, поскольку эта версия уже содержит аналогичное исправление. Вместо мода рекомендуется использовать Fabric Loader 0.12.12

Безопасность установки Установка мода не причинит вреда даже в случаях, когда он не является строго необходимым (за исключением указанных выше несовместимостей). При запуске выполняется минимальная однократная операция по удалению избыточного, но потенциально опасного механизма JNDI-поиска.

Важное замечание Хотя мод работает на фундаментальном уровне, нет стопроцентной гарантии полного устранения уязвимости. Также важно понимать, что он не блокирует передачу вредоносных сообщений между сервером и клиентами. Проводите регулярные проверки сообществ и Minecraft для подтверждения обеспечения вашей безопасности.