Minecraftアプリケーションの脆弱性について

2021.12.15 更新
2021.12.11 作成

このページでは、2021/12/10に発覚したlog4jの脆弱性（通称：Log4jShell）に対する対応策を、簡潔に書いています。

今般の脆弱性について：

• 良く分からない人向け：NHKニュースの記事
• 知ってる人向け：IPAからの通達、JPCERTからの通達、NVDの情報

1. Minecraftのソフトとランチャーを終了する
   1. もしMicrosoftストア版のランチャーなら、このまま読み進める
   2. もし従来版のランチャーなら、3へジャンプ
2. Microsoftストアを起動し、ランチャーを更新する
3. ランチャーを起動する
   1. もしForgeやFabric、Optifine単品などの“バニラではないMinecraft”でプレイしているなら、このまま読み進める
   2. もし何もMODを入れていなければ、終了
4. MODを再インストールして、“バニラではないMinecraft”を再度構築する。
5. modsフォルダにMODを入れている場合、各MODに更新がないか確認をし、2021/12/10以降に更新があれば更新する。
6. 終了

• 節電鯖管理人ecolight氏より、2021/12/11 00:29、 Discordにて以下告知あり。

spigot最新版にアップデートしサーバー再起動済みです

• 公式クライアント（ForgeやOptifineなどを突っ込んでいない、ランチャーからダウンロードしたそのままのクライアント）は、脆弱性対応版リリース済み。
  Minecraftを再起動した時点でパッチが自動適用されるとのこと。
  バージョン名に変更は無いので、パッチ適用後かどうかの区別はつかないものと思われる。
  • Minecraft公式からのアナウンス
• 非公式クライアント（ForgeやOptifineなどを突っ込んだ、バージョン名表記のところにMOD名が書かれているクライアント）は、以下の項目も参考に、各自対応が必要。

メジャーどころも全部は挙げきれていません。知っているところがあれば適宜追記してください。

• Forge
  • 要アップデート
    • （節電鯖対応バージョンの場合）1.15.2-31.2.56以降のリリースが脆弱性対応済み。
      これより前のバージョンを使っている場合は、改めて入れ直すこと。
  • 公式ツイート
• Fabric
  • 要再インストール
    • Fabric Loader 0.12.9で対応済。
  • (節電鯖対応バージョンの場合)再インストール時にMinecraftバージョン1.15.2。
    ローダバージョンは最新版を指定する事。
• Optifine
  • 単品で導入している場合：要再インストール
    • 公式クライアントをアップデートした後、Optifineを再度入れ直すと対応完了となる。
  • 前提MODの下でmodsフォルダに入れている場合：対応不要
  • 公式ツイート

◆簡易版◆

MinecraftはJavaというプログラミング言語で（Javaの力を借りて）動いています。
そのプログラムで使っている、 log4j2 という名のライブラリ（プログラムを作る上での便利ツール）に
脆弱性（誰も知らなかったやばいバグ）が見つかりました。
このバグを直すため、Minecraftのソフトが更新されました。
上の手順で更新するよう、お願いします。

◆エンジニアの同志向け版◆

ロギングライブラリのlog4j2にて、任意のLDAPサーバに存在するclassを実行できる不具合が発覚しました。
CVE-2021-44228として脆弱性情報データベースに登録されています。

本件はlog4j2の2.17.0 (Java 8以降)、2.12.3(Java 7)、Log4j 2.3.1(Java 6)にてそれぞれ修正されています。
Minecraftは、log4j2の更新または脆弱性対応を行ったMinecraft（クライアント・サーバとも）を配信開始しています。

各MODにおいては、ロギングライブラリにlog4j2を利用しているものは脆弱性に引っかかるものと思われるため、
MOD開発元からのアナウンスがあるまでは、念の為に利用を控えましょう。

なおエンジニア各位におかれましては、log4jというロギングのデファクトスタンダードなライブラリがやられた以上、
身近なところにあるJavaプログラムにも細心の注意を払うよう、お願いします。
（初稿投稿者の会社でも、自社プロダクトが被害を受けるかどうかで半日食いました……）