1.18.1 已经释出, 照往例的话我只会在上面 pre 的文章改标题而已
但这次修正包含了一个昨天才刚发现的 0-day 安全性漏洞 CVE-2021-44228
攻击者可以借由聊天窗输入特定字串以进行攻击
所以另起一篇文章转述官方提供的处理方式:
(官方文章详细: https://reurl.cc/dxYM26 )
使用官方启动器的玩家请关闭目前已开启的麦块游戏及启动器并重新开启
重启时就会下载已修正的版本 (修正已经回溯修补到所有受影响的版本 1.7.X~1.18.0)
官方服务器的因应方式:
1.18 服务器请升级或使用 1.17 修正
1.17 服务器请在启动参数加上 -Dlog4j2.formatMsgNoLookups=true
1.12~1.16.5 服务器请下载官方文章中这一项后面的档案 (log4j2_112-116.xml)
放在和服务器档案同样位置后
在启动参数加上 -Dlog4j.configurationFile=log4j2_112-116.xml
1.7~1.11.2 同样也请下载这一项后面的档案 (log4j2_17-111.xml) 放在一起后
在启动参数加上 -Dlog4j.configurationFile=log4j2_17-111.xml
第三方服务器请去该服务器官网下载对应的新版本, 各大第三方服务器应该都已经修补了
模组或模组包也请参照各自作者说明下载对应新版本进行修正

天啊，刚刚赶快把服务器先下线了等早上比较有空的时间再来修补

推

只有java吗

这是java函式库的漏洞，所以只会影响java版

1.12以下没有办法修，那些1.12的模组服务器大概有风险

MultiMC目前是强迫Minecraft去使用新版的Log4j绕过这个漏洞，且包括所有旧版的Minecraft与Forge，能暂缓Client端的状况，但Forge的Server如楼上所说只修了1.12以上的，所以伺服端还是逃不太掉

推推

感觉PaperMC可以躲过这个漏洞?

一样会喔, 我简单 google 一下就有看到 POC 影片所以还是去更新版本最好(POC: Proof of Concept 可行性验证)

谢谢!!

想问一下 如果要用fabric之类的客户端 也是更新原版的就够了吗 还是也要等fabric那边更新

fabric 应该也包含修正了, 可以更新 fabric 版本照我搜寻到的资料是 0.12.9 就有包含

感谢

刚刚有找到一个修复漏洞的插件感觉还不错用log4jJndiFixer 插件名称支援1.7-1.18