Log4j Fix für Spigot 1.8.8?
Gibt es ein Plugin dass die Sicherheitslücke Log4J in Spigot 1.8.8 fixt?
4 Antworten
Dazu brauchst du kein Plugin. Ein Plugin kann das Problem auch nicht wirklich sicher und zuverlässig beheben. Das muss ursächlich, also im Mutterschiff (in diesem Fall die Serversoftware als solches) gefixt werden.
Hier ist für jede Version beschrieben, was zutun ist:
Das geht auch mit CraftBukkit, Spigot, Paper usw...
Und dann einmal hiermit selber versuchen, den Server zu "hacken", um sicherzustellen, dass die Lücke tatsächlich zu ist:
https://log4shell.huntress.com/
Die "böse" Zeile einfach in den Ingame-Chat eingeben, so dass sie im Log erscheint, wo sie ihre "Arbeit" verrichtet. Wenn das geklappt hat (also die Lücke nicht geschlossen ist), taucht eine entsprechende Verbindung auf der Seite auf, sobald du den großen blauen Button untendrunter klickst. Steht aber auch alles dort beschrieben.
Vielleicht noch zusätzlich ein Plugin einsetzen, das die Zeichenfolge "${jndi:ldap" bei Chateingaben erkennt und mit dem Bannhammer abstraft :).
Einfach einen aktuellen Build nutzen: https://www.spigotmc.org/threads/spigot-security-releases-%E2%80%94-1-8-8%E2%80%931-18.537204/
1.8.8 ist aber so oder so nicht mehr empfehlenswert.
Log4j ist eine Java Bibliothek also hat schon etwas mit Java zu tun alle Java Anwendungen die damit programmiert wurden waren deshalb betroffen, Java hat aber selber in der eigenen Struktur Dinge verändert zum Beispiel das keine externen Klassen mehr ausgeführt werden können das behebt auch damit den Log4shell Exploit, gegen die DDos Attacke mit Log4j ist man damit aber noch nicht sicher....
Besonders wenn man wie der Fragesteller ein neues Netzwerk aufmacht, ist das eine schlechte Idee. Die 1.8 ist alt und das Potenzial davon schon längst ausgeschöpft. Probier mal einen neuen, innovativen Spielmodus mit der 1.8 zu konzipieren, das ist nur noch mit sehr sehr viel Kreativität möglich.
Habe ich schon versucht, Plugin geht aber irgendwie nicht...
Ein extra Plugin ist schon länger nicht mehr nötig, wenn man einen aktuellen Build nutzt (was man sowieso immer sollte).
Gibt es einen Grund warum du an 6 jahre alter Server Software hängst?
Eigentlich wollte ich sogar 1.7, ich möchte einen PvP Server eröffnen...
Das kenne ich, aber ich glaube nicht dass dadurch wirklich alle grundlegenden Sachen funktonieren ( z.B W-Tab, Hit Select, usw. )
Warte, heißt das dass die aktuelle Spigot 1.8.8 Version nicht vom Log4j exploit betroffen ist?