《我的世界》Java 版已修復 Log4j 高危漏洞:允許通過聊天框發起攻擊,請儘快更新
阿新 • • 發佈:2021-12-15
12 月 13 日訊息,最近的Log4j 漏洞想必大家都知道了,11 月 9 日晚,開源專案 Apache Log4j 2 的一個遠端程式碼執行漏洞的利用細節被公開,隨後該漏洞被迅速公開。
《我的世界》Java 版成為受其危害嚴重的遊戲之一,該漏洞允許惡意方通過將訊息貼上到遊戲內聊天框來遠端執行 Minecraft 伺服器上的程式碼。Mojang 已釋出緊急更新,要求玩家儘快更新到最新版本。
瞭解到,除了更新客戶端,Mojang 表示仍需要一些步驟:
官方遊戲客戶端
如果你玩的是《我的世界》Java 版,但沒有託管自己的伺服器,需要執行以下步驟:
關閉遊戲和 Minecraft Launcher 的所有正在執行的例項。再次啟動啟動器 —— 補丁版本將自動下載。
修改後的客戶端和第三方啟動器
修改後的客戶端和第三方啟動器可能不會自動更新。在這些情況下,Mojang建議玩家遵循第三方提供商的建議。如果第三方供應商沒有修補漏洞,或者沒有宣告可以安全地遊玩,你應該假設漏洞沒有修復並且在玩遊戲時有風險。
自建伺服器
如果你託管自己的《我的世界》Java 版伺服器,則需要根據使用的版本採取不同的步驟,以確保其安全:
1.18:如果可以的話,升級到 1.18.1 版本。如果沒有,請使用與 1.17.x 相同的方法。
1.17:將以下 JVM 引數新增到啟動命令列:
-Dlog4j2.formatMsgNoLookups=true
1.12-1.16.5:將此檔案下載到伺服器執行的工作目錄。然後將以下 JVM 引數新增到啟動命令列:
-Dlog4j.configurationFile=log4j2_112-116.xml
1.7-1.11.2:將此檔案下載到伺服器執行的工作目錄。然後將以下 JVM 引數新增到啟動命令列:
-Dlog4j.configurationFile=log4j2_17-111.xml
低於 1.7 的版本不受影響