Minecraft Unofficial Forum | マインクラフト非公式フォーラム
マインクラフト日本非公式ユーザフォーラム様のサービス停止に伴い、本フォーラムを作成しました。

マインクラフト非公式フォーラムへようこそ」を一読後、登録をお願いいたします。

その他 Minecraftで使われているlog4j2の脆弱性対応

Minecraftで使われているlog4j2に脆弱性が見つかり対応が必要です。

サーバ​

各サーバソフトウェアで対応が進んでいます。バージョン更新を推奨します。

Spigot​

paper/waterfall/velocity​

1639104043822.png


sponge​

1639104187767.png



また起動時の引数に以下の変数を追加し対策も可能です。(1.16以上)
Code:
-Dlog4j2.formatMsgNoLookups=true

クライアント​

ランチャー再起動時に修正されたクライアントに更新されます(1.7以上)
実行時引数に以下を追加してください。(1.16以上)
Code:
-Dlog4j2.formatMsgNoLookups=true
スクリーンショット 2021-12-10 11.57.11.png

1639105289595.png
1639105434385.png

1639105702690.png
 
Last edited:

smk7758

New member
クライアントの対応、ひとまずxmlによる変更を加えているらしいですね。
launchermeta 見ると nolookups のついた .xmlへ更新
https://launcher.mojang.com/v1/objects/ef4f57b922df243d0cef096efe808c72db042149/client-1.12.xml から、


またバニラサーバーは、-Dlog4j2.formatMsgNoLookups=trueの引数が必要なようです。

1.18.1によって、ちゃんとした更新を行うようです。
Edit: We've now released 1.18.1 release candidate 3, fixing a critical security issue.

まだ存在する問題は、ModやPluginにもlog4j2を使っているものは多いので、そちらの対応も必要になる可能性があることですかね。
 

smk7758

New member
Remote code injection in Log4j · CVE-2021-44228 · GitHub Advisory Database

CVE番号が出ていますね: CVE-2021-44228
(IPAからはまだ出ていない)

ニュースなどでも続々と掲載されてきていますね。
マイクラもハッキング ~「Apache Log4j」ライブラリに致命的なリモートコード実行のゼロデイ脆弱性 - やじうまの杜 - 窓の杜
https://forest.watch.impress.co.jp/docs/serial/yajiuma/1373242.html
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か - ITmedia NEWS https://www.itmedia.co.jp/news/articles/2112/10/news157.html


またTwitterでわかりやすいまとめがされていたので、載せておきます。
 
Top