====== Minecraftアプリケーションの脆弱性について ====== 2021.12.15 更新\\ 2021.12.11 作成 ===== 概要 ===== このページでは、2021/12/10に発覚したlog4jの脆弱性(通称:Log4jShell)に対する対応策を、簡潔に書いています。 今般の脆弱性について: * 良く分からない人向け:[[https://www3.nhk.or.jp/news/html/20211214/k10013387051000.html|NHKニュースの記事]] * 知ってる人向け:[[https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html|IPAからの通達]]、[[https://www.jpcert.or.jp/at/2021/at210050.html|JPCERTからの通達]]、[[https://nvd.nist.gov/vuln/detail/CVE-2021-44228|NVDの情報]] ===== 忙しい人向け:何をすればよいか ===== - Minecraftのソフトとランチャーを終了する - もしMicrosoftストア版のランチャーなら、このまま読み進める - もし従来版のランチャーなら、**3**へジャンプ - Microsoftストアを起動し、ランチャーを更新する - ランチャーを起動する - もしForgeやFabric、Optifine単品などの"バニラではないMinecraft"でプレイしているなら、このまま読み進める - もし何もMODを入れていなければ、**終了** - MODを再インストールして、"バニラではないMinecraft"を再度構築する。 - modsフォルダにMODを入れている場合、各MODに更新がないか確認をし、2021/12/10以降に更新があれば更新する。 - **終了** ===== もう少し細かく:必要な対応について ===== ==== サーバー ==== * 節電鯖管理人ecolight氏より、2021/12/11 00:29、 Discordにて以下告知あり。 > spigot最新版にアップデートしサーバー再起動済みです ==== クライアント ==== * 公式クライアント(ForgeやOptifineなどを突っ込んでいない、ランチャーからダウンロードしたそのままのクライアント)は、脆弱性対応版リリース済み。\\ **Minecraftを再起動した時点**でパッチが自動適用されるとのこと。\\ **バージョン名に変更は無い**ので、パッチ適用後かどうかの区別はつかないものと思われる。 * [[https://help.minecraft.net/hc/en-us/articles/4416199399693-Security-Vulnerability-in-Minecraft-Java-Edition|Minecraft公式からのアナウンス]] * 非公式クライアント(ForgeやOptifineなどを突っ込んだ、バージョン名表記のところにMOD名が書かれているクライアント)は、以下の項目も参考に、各自対応が必要。 ==== MOD ==== メジャーどころも全部は挙げきれていません。知っているところがあれば適宜追記してください。 * Forge * 要アップデート * (節電鯖対応バージョンの場合)1.15.2-31.2.56以降のリリースが脆弱性対応済み。\\ これより前のバージョンを使っている場合は、改めて入れ直すこと。 * [[https://twitter.com/ForgeDevTeam/status/1469865899142389761|公式ツイート]] * Fabric * 要再インストール * [[https://github.com/FabricMC/fabric-loader/releases/tag/0.12.9|Fabric Loader 0.12.9で対応済]]。 * (節電鯖対応バージョンの場合)再インストール時にMinecraftバージョン1.15.2。\\ ローダバージョンは最新版を指定する事。 * Optifine * 単品で導入している場合:要再インストール * 公式クライアントをアップデートした後、Optifineを再度入れ直すと対応完了となる。 * 前提MODの下でmodsフォルダに入れている場合:対応不要 * [[https://twitter.com/OptiFineHelp/status/1469441596915601420|公式ツイート]] ===== 何があったのか ===== ◆簡易版◆ MinecraftはJavaというプログラミング言語で(Javaの力を借りて)動いています。\\ そのプログラムで使っている、 log4j2 という名のライブラリ(プログラムを作る上での便利ツール)に\\ 脆弱性(誰も知らなかったやばいバグ)が見つかりました。\\ このバグを直すため、Minecraftのソフトが更新されました。\\ 上の手順で更新するよう、お願いします。 ---- ◆エンジニアの同志向け版◆ ロギングライブラリのlog4j2にて、任意のLDAPサーバに存在するclassを実行できる不具合が発覚しました。\\ [[https://www.cve.org/CVERecord?id=CVE-2021-44228|CVE-2021-44228]]として脆弱性情報データベースに登録されています。 本件はlog4j2の2.17.0 (Java 8以降)、2.12.3(Java 7)、Log4j 2.3.1(Java 6)にてそれぞれ修正されています。\\ Minecraftは、log4j2の更新または脆弱性対応を行ったMinecraft(クライアント・サーバとも)を配信開始しています。 各MODにおいては、ロギングライブラリにlog4j2を利用しているものは脆弱性に引っかかるものと思われるため、\\ MOD開発元からのアナウンスがあるまでは、念の為に利用を控えましょう。 なおエンジニア各位におかれましては、log4jというロギングのデファクトスタンダードなライブラリがやられた以上、\\ 身近なところにあるJavaプログラムにも細心の注意を払うよう、お願いします。\\ (初稿投稿者の会社でも、自社プロダクトが被害を受けるかどうかで半日食いました……)