Minecraft Wiki

除另有声明,转载时均必须注明出处若簡繁轉換出錯,請以遊戲內為準请勇于扩充与修正内容有兴趣逛逛我们的微博沟通交流,欢迎到社区专页需要协助,请在告示板留言

了解更多

Minecraft Wiki
Advertisement
该页面的内容不代表Mojang StudiosMinecraft Wiki的官方意见。
EnderdragonFace
警告:Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)十分严重。

此漏洞可能导致计算机资料安全受到严重威胁,请务必重视

本教程介绍了修复Apache Log4j2相关漏洞的方法。

漏洞缘由

开源Java日志框架Apache Log4j2被曝出存在高危远程代码执行漏洞。由于Java版的大部分版本使用了使用了该日志框架,绝大多数Minecraft玩家都可能因该漏洞而遭受攻击。

漏洞危害

攻击者可利用该漏洞在未经授权的情况下在玩家电脑上执行任意命令,其中不乏下载病毒、占用系统资源、窃取隐私等恶意命令。由于该漏洞存在范围广、利用门槛极低,会给玩家带来极高的安全隐患。

影响范围

注:此处只列举了被影响的Minecraft游戏版本。实际上所有使用了此日志框架的程序都受此漏洞影响。

13w39a~1.18.1-rc2全部客户端与服务端,包括:

  • 原版客户端与服务端;
  • 安装了模组的客户端与服务端;
  • Paper、Spigot等大多数第三方服务端;
  • 其他满足上述范围的Java版客户端与服务端。

以下版本不受影响:

检验方式

  • 客户端可以在游戏内聊天框输入${jndi:ldap://www.mcbbs.net}来检验是否存在log4j漏洞。如果输入后出现短暂卡顿现象,则说明漏洞存在(但要注意的是,某些客户端输入其他文本也会卡顿一下,所以应当尝试先输入普通聊天文本再尝试;而离线模式本身就不应存在卡顿现象);如果没有出现卡顿现象,则说明客户端是安全的。
  • log4j 2.15.0-rc2及更新的版本已经修复了此漏洞,请检查你的客户端是否套用了新的log4j,可以在.minecraft\libraries\org\apache\logging\log4j查看;然后浏览游戏版本的.json文件,检查启动器是否使用了此版本的log4j进行启动,文件位置在.minecraft\versions\游戏版本号里。

修复方式

原版客户端

Minecraft官方启动器
  • 关闭游戏、重新启动启动器。已修复的版本会自动下载。
第三方启动器
  • 关闭游戏,将启动器更新到最新版本,并留意更新日志中是否说明修复了此漏洞。如果没有,请参照#临时防御方案修复。
  • PCL、HMCL、BakaXL等第三方启动器均已针对此漏洞进行了紧急更新,如果你正在使用这些启动器,请尽快升级到最新版本。

模组加载器

Fabric
  • 将Fabric Loader更新到0.12.9及以上版本。
Forge
  • Forge声明其多个版本已包含针对此次log4j漏洞的紧急更新,推荐的版本:
    • 1.18-38.0.17
    • 1.17.1-37.1.1
    • 1.16.5-36.2.20
    • 1.15.2-31.2.56
    • 1.14.4-28.2.24
    • 1.13.2-25.0.221
    • 1.12.2-14.23.5.2856
  • 1.12.2与1.16.5版本可尝试安装此修复mod来进行修复。
其他模组加载器
  • 由于多数其他模组加载器已停更,它们都已不再安全,请修复启动器,或参照#临时防御方案修复。

原版服务端

1.18
  • 关闭服务端,升级到1.18.1,或者按照1.17的方法修复。
1.17
  • 关闭服务端,在启动脚本中添加JVM参数:-Dlog4j2.formatMsgNoLookups=true
1.12~1.16.5
  • 关闭服务端,下载此文件到服务器的工作路径。然后在启动脚本中加入JVM参数:-Dlog4j.configurationFile=log4j2_112-116.xml
1.7~1.11.2
  • 关闭服务端,下载此文件到服务器的工作路径。然后在启动脚本中加入JVM参数:-Dlog4j.configurationFile=log4j2_17-111.xml

第三方服务端

Paper、WaterFall、Velocity、Spigot
  • 这些服务端均已发布紧急更新,请关闭服务端,更新到最新版本。
BungeeCord
  • 不受影响,无需操作。
其他服务端
  • 请先关闭服务端,然后参照MCBBS上的帖子修复。如果你使用的服务端没有在帖子中列出,请将服务端更新到最新版本,并留意更新日志中是否说明修复了此漏洞。如果没有,请参照#临时防御方案修复。

临时防御方案

本段参考了火绒安全实验室发布的专栏:https://www.bilibili.com/read/cv14365632

  • 如果可以,添加JVM参数:-Dlog4j2.formatMsgNoLookups=true
  • 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

敬请参阅

Advertisement