※ [本文轉錄自 Minecraft 看板 #1XismdS8 ]
作者: LPH66 ( ) 看板: Minecraft
標題: [情報] 1.18.1 & 安全性漏洞修補注意事項
時間: Fri Dec 10 23:03:00 2021
1.18.1 已經釋出, 照往例的話我只會在上面 pre 的文章改標題而已
但這次修正包含了一個昨天才剛發現的 0-day 安全性漏洞 CVE-2021-44228
攻擊者可以藉由聊天窗輸入特定字串以進行攻擊
所以另起一篇文章轉述官方提供的處理方式:
(官方文章詳細: https://reurl.cc/dxYM26 )
使用官方啟動器的玩家請關閉目前已開啟的麥塊遊戲及啟動器並重新開啟
重啟時就會下載已修正的版本 (修正已經回溯修補到所有受影響的版本 1.7.X~1.18.0)
官方伺服器的因應方式:
1.18 伺服器請升級或使用 1.17 修正
1.17 伺服器請在啟動參數加上 -Dlog4j2.formatMsgNoLookups=true
1.12~1.16.5 伺服器請下載官方文章中這一項後面的檔案 (log4j2_112-116.xml)
放在和伺服器檔案同樣位置後
在啟動參數加上 -Dlog4j.configurationFile=log4j2_112-116.xml
1.7~1.11.2 同樣也請下載這一項後面的檔案 (log4j2_17-111.xml) 放在一起後
在啟動參數加上 -Dlog4j.configurationFile=log4j2_17-111.xml
第三方伺服器請去該伺服器官網下載對應的新版本, 各大第三方伺服器應該都已經修補了
模組或模組包也請參照各自作者說明下載對應新版本進行修正

2b2t 裡面會不會一堆被這漏洞攻擊XD

看他的log4j用1.0還是2.0，跟是不是只用api決定

麥塊用 log4j2 已經很久了 (我列的影響範圍就是用 2 版的)最早引入的是 13w39a 後來成了 1.7.2這裡的修正應該是函式庫用法的修正 (我沒看到有更新函式庫)