Guía de Seguridad para Servers de Minecraft Log4j

La vulnerabilidad Log4j fue uno de los problemas de seguridad más alarmantes que afectaron a los servers de Minecraft, principalmente porque el exploit podía activarse con algo tan simple como una línea de texto. Ha pasado el tiempo y muchas plataformas ya aplicaron parches contra esto, pero quienes administran servers aún deben entender qué ocurrió y qué revisar.

¿Cuál fue el problema de Log4j?

Apache Log4j tenía una vulnerabilidad que permitía a atacantes ejecutar código de forma remota bajo ciertas condiciones. Para los servers de Minecraft, eso creaba un riesgo serio: un mensaje malicioso en el chat podía potencialmente llevar a acceso remoto a la consola y a los permisos asociados.

Algunos dueños de servers todavía reportan jugadores que entran, publican cadenas extrañas parecidas a código en el chat y se van de inmediato. Esos intentos normalmente son escaneos automatizados en busca de servers que nunca fueron protegidos.

El aviso oficial de Mojang sobre la vulnerabilidad está disponible aquí.

¿Un server de Minecraft es seguro ahora?

Los servers que ejecutan Minecraft 1.18.1 o versiones más recientes están protegidos contra este problema. Si un server está en 1.18 o una versión anterior, puede necesitar protección adicional de arranque mediante argumentos JVM específicos, a menos que su software ya haya recibido un parche.

Para revisar o habilitar la opción de arranque necesaria, usa este proceso general:

1. Inicia sesión en tu panel de control de Minecraft.
2. Abre `Startup Parameters` desde el menú lateral izquierdo.
3. Habilita el argumento JVM necesario para tu versión.
4. Reinicia el server.

Si el argumento JVM no aparece, reinicia el server y revisa otra vez. Si todavía no aparece, abre un ticket de soporte. Para servers 1.17 y más recientes, es posible que el argumento correcto ya se agregue automáticamente en el script de arranque, por lo que quizá no aparezca como opción manual.

Software de server de Minecraft con parche

La comunidad de servers de Minecraft respondió rápido, y la mayoría de las builds comunes de server recibieron correcciones. En el momento en que se escribió el artículo fuente, las builds más recientes de estos jars ya habían sido parcheadas:

• Bungeecord
• Paper Waterfall
• CraftBukkit 1.18.1
• Fabric Loader
• Forge 1.18
• Forge 1.17.1
• Forge 1.16.5
• Forge 1.15.2
• Forge 1.14.4
• Forge 1.13.2
• Forge 1.12.2
• Paper 1.18.1
• Paper 1.18
• Paper 1.17.1
• Paper 1.16.5
• Paper 1.15.2
• Paper 1.14.4
• Paper 1.13.2
• Paper 1.12.2
• Paper 1.10.2
• Spigot 1.18.1
• Spigot 1.18
• Spigot 1.17.1
• Spigot 1.17
• Spigot 1.16.5
• Spigot 1.15.2
• Spigot 1.14.4
• Spigot 1.13.2
• Spigot 1.12.2
• Spigot 1.11.2
• Spigot 1.10.2
• Spigot 1.9.4
• Spigot 1.8.8
• Vanilla 1.7 to 1.18.1

Si tu server usa algo fuera de esa lista, trátalo con cuidado. Actualizar a 1.18.1 o una versión más reciente es la ruta más segura. Si no es posible actualizar, aplica la corrección recomendada por Mojang para la versión afectada.

Cuándo pedir ayuda

Si no tienes certeza de si tu server está protegido, pide al soporte que lo verifique antes de abrir el server al público. Adivinar con seguridad no es un gran pasatiempo, y es mucho menos divertido que jugar Minecraft de verdad.