※ [本文转录自 Minecraft 看板 #1XismdS8 ]
作者: LPH66 ( ) 看板: Minecraft
标题: [情报] 1.18.1 & 安全性漏洞修补注意事项
时间: Fri Dec 10 23:03:00 2021
1.18.1 已经释出, 照往例的话我只会在上面 pre 的文章改标题而已
但这次修正包含了一个昨天才刚发现的 0-day 安全性漏洞 CVE-2021-44228
攻击者可以借由聊天窗输入特定字串以进行攻击
所以另起一篇文章转述官方提供的处理方式:
(官方文章详细: https://reurl.cc/dxYM26 )
使用官方启动器的玩家请关闭目前已开启的麦块游戏及启动器并重新开启
重启时就会下载已修正的版本 (修正已经回溯修补到所有受影响的版本 1.7.X~1.18.0)
官方服务器的因应方式:
1.18 服务器请升级或使用 1.17 修正
1.17 服务器请在启动参数加上 -Dlog4j2.formatMsgNoLookups=true
1.12~1.16.5 服务器请下载官方文章中这一项后面的档案 (log4j2_112-116.xml)
放在和服务器档案同样位置后
在启动参数加上 -Dlog4j.configurationFile=log4j2_112-116.xml
1.7~1.11.2 同样也请下载这一项后面的档案 (log4j2_17-111.xml) 放在一起后
在启动参数加上 -Dlog4j.configurationFile=log4j2_17-111.xml
第三方服务器请去该服务器官网下载对应的新版本, 各大第三方服务器应该都已经修补了
模组或模组包也请参照各自作者说明下载对应新版本进行修正

2b2t 里面会不会一堆被这漏洞攻击XD

看他的log4j用1.0还是2.0，跟是不是只用api决定

麦块用 log4j2 已经很久了 (我列的影响范围就是用 2 版的)最早引入的是 13w39a 后来成了 1.7.2这里的修正应该是函式库用法的修正 (我没看到有更新函式库)