wiki通知情報

現在wikiの再構成中ですがご利用頂けます。
⚠クライアントをlog4j2の脆弱性に対応させる事を強く推奨します。対応方法
更新情報(2021/5/5) / 重要告知(2021/5/9)

Minecraftアプリケーションの脆弱性について

2021.12.15 更新
2021.12.11 作成

概要

このページでは、2021/12/10に発覚したlog4jの脆弱性(通称:Log4jShell)に対する対応策を、簡潔に書いています。

今般の脆弱性について:

忙しい人向け:何をすればよいか

  1. Minecraftのソフトとランチャーを終了する
    1. もしMicrosoftストア版のランチャーなら、このまま読み進める
    2. もし従来版のランチャーなら、3へジャンプ
  2. Microsoftストアを起動し、ランチャーを更新する
  3. ランチャーを起動する
    1. もしForgeやFabric、Optifine単品などの“バニラではないMinecraft”でプレイしているなら、このまま読み進める
    2. もし何もMODを入れていなければ、終了
  4. MODを再インストールして、“バニラではないMinecraft”を再度構築する。
  5. modsフォルダにMODを入れている場合、各MODに更新がないか確認をし、2021/12/10以降に更新があれば更新する。
  6. 終了

もう少し細かく:必要な対応について

サーバー

  • 節電鯖管理人ecolight氏より、2021/12/11 00:29、 Discordにて以下告知あり。
spigot最新版にアップデートしサーバー再起動済みです

クライアント

  • 公式クライアント(ForgeやOptifineなどを突っ込んでいない、ランチャーからダウンロードしたそのままのクライアント)は、脆弱性対応版リリース済み。
    Minecraftを再起動した時点でパッチが自動適用されるとのこと。
    バージョン名に変更は無いので、パッチ適用後かどうかの区別はつかないものと思われる。
  • 非公式クライアント(ForgeやOptifineなどを突っ込んだ、バージョン名表記のところにMOD名が書かれているクライアント)は、以下の項目も参考に、各自対応が必要。

MOD

メジャーどころも全部は挙げきれていません。知っているところがあれば適宜追記してください。

  • Forge
    • 要アップデート
      • (節電鯖対応バージョンの場合)1.15.2-31.2.56以降のリリースが脆弱性対応済み。
        これより前のバージョンを使っている場合は、改めて入れ直すこと。
  • Fabric
    • 要再インストール
    • (節電鯖対応バージョンの場合)再インストール時にMinecraftバージョン1.15.2。
      ローダバージョンは最新版を指定する事。
  • Optifine
    • 単品で導入している場合:要再インストール
      • 公式クライアントをアップデートした後、Optifineを再度入れ直すと対応完了となる。
    • 前提MODの下でmodsフォルダに入れている場合:対応不要

何があったのか

◆簡易版◆

MinecraftはJavaというプログラミング言語で(Javaの力を借りて)動いています。
そのプログラムで使っている、 log4j2 という名のライブラリ(プログラムを作る上での便利ツール)に
脆弱性(誰も知らなかったやばいバグ)が見つかりました。
このバグを直すため、Minecraftのソフトが更新されました。
上の手順で更新するよう、お願いします。


◆エンジニアの同志向け版◆

ロギングライブラリのlog4j2にて、任意のLDAPサーバに存在するclassを実行できる不具合が発覚しました。
CVE-2021-44228として脆弱性情報データベースに登録されています。

本件はlog4j2の2.17.0 (Java 8以降)、2.12.3(Java 7)、Log4j 2.3.1(Java 6)にてそれぞれ修正されています。
Minecraftは、log4j2の更新または脆弱性対応を行ったMinecraft(クライアント・サーバとも)を配信開始しています。

各MODにおいては、ロギングライブラリにlog4j2を利用しているものは脆弱性に引っかかるものと思われるため、
MOD開発元からのアナウンスがあるまでは、念の為に利用を控えましょう。

なおエンジニア各位におかれましては、log4jというロギングのデファクトスタンダードなライブラリがやられた以上、
身近なところにあるJavaプログラムにも細心の注意を払うよう、お願いします。
(初稿投稿者の会社でも、自社プロダクトが被害を受けるかどうかで半日食いました……)

プリント/エキスポート
QRコード
QR Code Minecraftアプリケーションの脆弱性について (generated for current page)