Viele von Euch werden es bereits mitbekommen haben, da das heikle Thema seit gestern durch sämtliche Medien geht. Die bekannten Newsportale Heise und Golem berichteten zuerst über eine Sicherheitslücke (CVE-2021-44228) in einer Java Library, welche im schlimmsten Fall die Ausführung von Code ermöglichen würde – also den Worst-Case den man sich als Admin vorstellen kann. Die Lücke wird inzwischen überwiegend als „Log4Shell“ benannt.
Wir möchten deutlich anmerken: Dies ist keine Lücke, die nur JAVA Anwendungen bei uns betrifft. Die Lücke betrifft JEDE ungepatchte JAVA Anwendung in der diese Library zum Einsatz kommt – egal wo betrieben, die an das Internet angebunden ist.
Was könnte passieren?
Systeme könnten für Mining missbraucht, für DOS-Angriffe oder zum Versand von Mailspam zweckentfremdet werden. Das sind nur einige der möglichen Szenarien wofür Angreifer die Lücke ausnutzen könnten. Noch trivialer wäre es darüber auch einfach Spielstände zu löschen, zu griefen oder ähnliche Unannehmlichkeiten zu verursachen.
Das klingt schlimm? Was kannst Du jetzt tun?
- Verzichte auf die Nutzung alter Minecraft und Java Versionen und installiere möglichst das gestern eingebundene Update 1.18.1 für Paper, Spigot, Craftbukkit oder Vanilla und verwende Java 17
- Wenn sich Dein Server merkwürdig verhält, schalte ihn im Zweifel lieber vorübergehend aus und kontaktiere unseren Kundendienst für eine Prüfung. Eventuell wird er bereits missbraucht.
- Startet Eure Gameserver einmal neu, um ein von uns gesetztes neues Java Flag „-Dlog4j2.formatMsgNoLookups=true“ für Java zu aktivieren. Dieses soll laut diversen Quellen die Nutzung der Lücke provisorisch in bestimmten Java Versionen unterbinden.
- Patche und update auch lokale Anwendungen (z.B. Deinen Minecraft Client) und Deine Java Laufzeitumgebung auf Deinem PC
Wir updaten seit gestern Abend auf allen Systemen die Java Umgebungen Java8, 11, 16 und 17 wodurch es zu kurzen Neustarts der Hostnodes und damit 1-2 Minuten Downtime kommen kann. Wir bitten dies zu entschuldigen.
