作者LPH66 ( )
看板Minecraft
標題[情報] 1.18.1 & 安全性漏洞修補注意事項
時間Fri Dec 10 23:03:00 2021
1.18.1 已經釋出, 照往例的話我只會在上面 pre 的文章改標題而已
但這次修正包含了一個昨天才剛發現的 0-day 安全性漏洞 CVE-2021-44228
攻擊者可以藉由聊天窗輸入特定字串以進行攻擊
所以另起一篇文章轉述官方提供的處理方式:
(官方文章詳細:
https://reurl.cc/dxYM26 )
使用官方啟動器的玩家請關閉目前已開啟的麥塊遊戲及啟動器並重新開啟
重啟時就會下載已修正的版本 (修正已經回溯修補到所有受影響的版本 1.7.X~1.18.0)
官方伺服器的因應方式:
1.18 伺服器請升級或使用 1.17 修正
1.17 伺服器請在啟動參數加上 -Dlog4j2.formatMsgNoLookups=true
1.12~1.16.5 伺服器請下載官方文章中這一項後面的檔案 (log4j2_112-116.xml)
放在和伺服器檔案同樣位置後
在啟動參數加上 -Dlog4j.configurationFile=log4j2_112-116.xml
1.7~1.11.2 同樣也請下載這一項後面的檔案 (log4j2_17-111.xml) 放在一起後
在啟動參數加上 -Dlog4j.configurationFile=log4j2_17-111.xml
第三方伺服器請去該伺服器官網下載對應的新版本, 各大第三方伺服器應該都已經修補了
模組或模組包也請參照各自作者說明下載對應新版本進行修正
--
1985/01/12 三嶋鳴海 1989/02/22 優希堂悟 1990/02/22 冬川こころ 1993/07/05 小町
つぐみ 歡迎來到 1994/05/21 高江ミュウ 1997/03/24 守野いづみ 1997/03/24 伊野瀬
チサト 1998/06/18 守野くるみ 打越鋼太郎的 1999/10/19 楠田ゆに 2000/02/15 樋口遙
2002/12/17 八神ココ 2011/01/11 HAL18於朱倉岳墜機 ∞與∫的世界 2011/04/02 茜崎空
啟動 2012/05/21 第貮日蝕計畫預定 2017/05/01~07 LeMU崩壞 2019/04/01~07 某大學合宿
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.159.72.196 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Minecraft/M.1639148583.A.708.html
※ LPH66:轉錄至看板 C_Chat 12/10 23:03
※ 編輯: LPH66 (180.217.116.73 臺灣), 12/11/2021 00:49:14
推 anderwei: 天啊,剛剛趕快把伺服器先下線了 12/11 02:20
→ anderwei: 等早上比較有空的時間再來修補 12/11 02:20
推 okery: 推 12/11 02:39
推 steven56138: 只有java嗎 12/11 10:48
推 Kenqr: 這是java函式庫的漏洞,所以只會影響java版 12/11 12:58
推 Gwaewluin: 1.12以下沒有辦法修,那些1.12的模組伺服器大概有風險 12/11 18:53
推 anderwei: MultiMC目前是強迫Minecraft去使用新版的Log4j繞過這個 12/11 23:42
→ anderwei: 漏洞,且包括所有舊版的Minecraft與Forge,能暫緩Clien 12/11 23:42
→ anderwei: t端的狀況,但Forge的Server如樓上所說只修了1.12以上 12/11 23:42
→ anderwei: 的,所以伺服端還是逃不太掉 12/11 23:42
推 leegogo: 推推 12/12 14:33
推 ferretwind: 感覺PaperMC可以躲過這個漏洞? 12/12 20:44
→ LPH66: 一樣會喔, 我簡單 google 一下就有看到 POC 影片 12/12 23:09
→ LPH66: 所以還是去更新版本最好 12/12 23:09
→ LPH66: (POC: Proof of Concept 可行性驗證) 12/12 23:09
推 ferretwind: 謝謝!! 12/13 10:02
推 bathtowel: 想問一下 如果要用fabric之類的客戶端 也是更新原版的 12/13 11:02
→ bathtowel: 就夠了嗎 還是也要等fabric那邊更新 12/13 11:02
→ LPH66: fabric 應該也包含修正了, 可以更新 fabric 版本 12/13 11:52
→ LPH66: 照我搜尋到的資料是 0.12.9 就有包含 12/13 11:53
→ bathtowel: 感謝 12/13 18:47
推 j6u47803: 剛剛有找到一個修復漏洞的插件感覺還不錯用 12/14 12:09
→ j6u47803: log4jJndiFixer 插件名稱 12/14 12:09
→ j6u47803: 支援1.7-1.18 12/14 12:10