Minecraftアプリケーションの脆弱性について

2021.12.11 作成

1. Minecraftのソフトとランチャーを終了する
   1. もしMicrosoftストア版のランチャーなら、このまま読み進める
   2. もし従来版のランチャーなら、3へジャンプ
2. Microsoftストアを起動し、ランチャーを更新する
3. ランチャーを起動する
   1. もしForgeやFabricなどの“前提MOD”を入れているなら、このまま読み進める
   2. もし“前提MOD”が入っていないけどそれ以外のMODが入っているなら、5へジャンプ
   3. もし何もMODを入れていなければ、終了
4. 前提MODが入ったバージョンを一旦削除し、前提MODを公式サイトから再ダウンロード、再度導入する。
5. 使っているMODに更新がないか確認をし、2021/12/10以降に更新があれば更新する。
6. 終了

◆簡易版◆

MinecraftはJavaというプログラミング言語で（Javaの力を借りて）動いています。
そのプログラムで使っている、 log4j2 という名のライブラリ（プログラムを作る上での便利ツール）に
脆弱性（誰も知らなかったやばいバグ）が見つかりました。
このバグを直すため、Minecraftのソフトが更新されました。
上の手順で更新するよう、お願いします。

◆エンジニアの同志向け版◆

ロギングライブラリのlog4j2にて、任意のLDAPサーバに存在するclassを実行できる不具合が発覚しました。
CVE-2021-44228として脆弱性情報データベースに登録されています。

本件はlog4j2の2.15.0-rc2（日本時間2021/12/10 午前3時リリース）にて修正されています。
Minecraftは、log4j2の更新または脆弱性対応を行ったMinecraft（クライアント・サーバとも）を配信開始しています。

各MODにおいては、ロギングライブラリにlog4j2を利用しているものは脆弱性に引っかかるものと思われるため、
MOD開発元からのアナウンスがあるまでは、念の為に利用を控えましょう。

なおエンジニア各位におかれましては、log4jというロギングのデファクトスタンダードなライブラリがやられた以上、
身近なところにあるJavaプログラムにも細心の注意を払うよう、お願いします。
（初稿投稿者の会社でも、自社プロダクトが被害を受けるかどうかで半日食いました……）