文書の過去の版を表示しています。
Minecraftアプリケーションの脆弱性について
2021.12.15 更新
2021.12.11 作成
概要
このページでは、2021/12/10に発覚したlog4jの脆弱性(通称:Log4jShell)に対する対応策を、簡潔に書いています。
今般の脆弱性について:
- 良く分からない人向け:NHKニュースの記事
忙しい人向け:何をすればよいか
- Minecraftのソフトとランチャーを終了する
- もしMicrosoftストア版のランチャーなら、このまま読み進める
- もし従来版のランチャーなら、3へジャンプ
- Microsoftストアを起動し、ランチャーを更新する
- ランチャーを起動する
- もしForgeやFabric、Optifine単品などの“バニラではないMinecraft”でプレイしているなら、このまま読み進める
- もし何もMODを入れていなければ、終了
- MODを再インストールして、“バニラではないMinecraft”を再度構築する。
- modsフォルダにMODを入れている場合、各MODに更新がないか確認をし、2021/12/10以降に更新があれば更新する。
- 終了
もう少し細かく:必要な対応について
サーバー
- 節電鯖管理人ecolight氏より、2021/12/11 00:29、 Discordにて以下告知あり。
spigot最新版にアップデートしサーバー再起動済みです
クライアント
- 公式クライアント(ForgeやOptifineなどを突っ込んでいない、ランチャーからダウンロードしたそのままのクライアント)は、脆弱性対応版リリース済み。
Minecraftを再起動した時点でパッチが自動適用されるとのこと。
バージョン名に変更は無いので、パッチ適用後かどうかの区別はつかないものと思われる。 - 非公式クライアント(ForgeやOptifineなどを突っ込んだ、バージョン名表記のところにMOD名が書かれているクライアント)は、以下の項目も参考に、各自対応が必要。
MOD
メジャーどころも全部は挙げきれていません。知っているところがあれば適宜追記してください。
- Forge
- 要アップデート
- (節電鯖対応バージョンの場合)1.15.2-31.2.56以降のリリースが脆弱性対応済み。
これより前のバージョンを使っている場合は、改めて入れ直すこと。
- Fabric Loader
- 不明(筆者が使っていないため。求:詳しい人の追記)
- 0.12.9で対応されたようだけれど、マイクラ1.15.2に適用可能なのか?
- Optifine
- 単品で導入している場合:要再インストール
- 公式クライアントをアップデートした後、Optifineを再度入れ直すと対応完了となる。
- 前提MODの下でmodsフォルダに入れている場合:対応不要
何があったのか
◆簡易版◆
MinecraftはJavaというプログラミング言語で(Javaの力を借りて)動いています。
そのプログラムで使っている、 log4j2 という名のライブラリ(プログラムを作る上での便利ツール)に
脆弱性(誰も知らなかったやばいバグ)が見つかりました。
このバグを直すため、Minecraftのソフトが更新されました。
上の手順で更新するよう、お願いします。
◆エンジニアの同志向け版◆
ロギングライブラリのlog4j2にて、任意のLDAPサーバに存在するclassを実行できる不具合が発覚しました。
CVE-2021-44228として脆弱性情報データベースに登録されています。
本件はlog4j2の2.15.0-rc2(日本時間2021/12/10 午前3時リリース)にて修正されています。
Minecraftは、log4j2の更新または脆弱性対応を行ったMinecraft(クライアント・サーバとも)を配信開始しています。
各MODにおいては、ロギングライブラリにlog4j2を利用しているものは脆弱性に引っかかるものと思われるため、
MOD開発元からのアナウンスがあるまでは、念の為に利用を控えましょう。
なおエンジニア各位におかれましては、log4jというロギングのデファクトスタンダードなライブラリがやられた以上、
身近なところにあるJavaプログラムにも細心の注意を払うよう、お願いします。
(初稿投稿者の会社でも、自社プロダクトが被害を受けるかどうかで半日食いました……)