作者:
LPH66 (-6.2598534e+18f)
2021-12-10 23:03:001.18.1 已經釋出, 照往例的話我只會在上面 pre 的文章改標題而已
但這次修正包含了一個昨天才剛發現的 0-day 安全性漏洞 CVE-2021-44228
攻擊者可以藉由聊天窗輸入特定字串以進行攻擊
所以另起一篇文章轉述官方提供的處理方式:
(官方文章詳細: https://reurl.cc/dxYM26 )
使用官方啟動器的玩家請關閉目前已開啟的麥塊遊戲及啟動器並重新開啟
重啟時就會下載已修正的版本 (修正已經回溯修補到所有受影響的版本 1.7.X~1.18.0)
官方伺服器的因應方式:
1.18 伺服器請升級或使用 1.17 修正
1.17 伺服器請在啟動參數加上 -Dlog4j2.formatMsgNoLookups=true
1.12~1.16.5 伺服器請下載官方文章中這一項後面的檔案 (log4j2_112-116.xml)
放在和伺服器檔案同樣位置後
在啟動參數加上 -Dlog4j.configurationFile=log4j2_112-116.xml
1.7~1.11.2 同樣也請下載這一項後面的檔案 (log4j2_17-111.xml) 放在一起後
在啟動參數加上 -Dlog4j.configurationFile=log4j2_17-111.xml
第三方伺服器請去該伺服器官網下載對應的新版本, 各大第三方伺服器應該都已經修補了
模組或模組包也請參照各自作者說明下載對應新版本進行修正
作者: anderwei (Ander) 2021-12-11 02:20:00
天啊,剛剛趕快把伺服器先下線了等早上比較有空的時間再來修補
作者:
okery (葉君秦)
2021-12-11 02:39:00推
作者:
Kenqr (function(){})()
2021-12-11 12:58:00這是java函式庫的漏洞,所以只會影響java版
1.12以下沒有辦法修,那些1.12的模組伺服器大概有風險
作者: anderwei (Ander) 2021-12-11 23:42:00
MultiMC目前是強迫Minecraft去使用新版的Log4j繞過這個漏洞,且包括所有舊版的Minecraft與Forge,能暫緩Client端的狀況,但Forge的Server如樓上所說只修了1.12以上的,所以伺服端還是逃不太掉
作者:
leegogo (æŽç‹—ç‹—)
2021-12-12 14:33:00推推
作者:
LPH66 (-6.2598534e+18f)
2021-12-12 23:09:00一樣會喔, 我簡單 google 一下就有看到 POC 影片所以還是去更新版本最好(POC: Proof of Concept 可行性驗證)
作者: bathtowel 2021-12-13 11:02:00
想問一下 如果要用fabric之類的客戶端 也是更新原版的就夠了嗎 還是也要等fabric那邊更新
作者:
LPH66 (-6.2598534e+18f)
2021-12-13 11:52:00fabric 應該也包含修正了, 可以更新 fabric 版本照我搜尋到的資料是 0.12.9 就有包含
作者: bathtowel 2021-12-13 18:47:00
感謝
作者:
j6u47803 (j6u47803)
2021-12-14 12:09:00剛剛有找到一個修復漏洞的插件感覺還不錯用log4jJndiFixer 插件名稱支援1.7-1.18