Minecraft Japan Forum

有志により立ち上げられた非公式のフォーラムです
https://forum.civa.jp/

Log4j対策

https://forum.civa.jp/viewtopic.php?t=852

ページ 11

Log4j対策

Posted: 2021年12月11日(土) 22:08
by UT-X
先日発覚したLog4jの脆弱性を対策するにあたって、クライアント側とサーバー側がやるべきことをまとめました。
参考文献:Important Message: Security vulnerability in Java Edition | Minecraft

クライアント
  • バニラクライアントかつ公式ランチャーの場合:
    起動中のすべてのMinecraftJEおよびランチャーを閉じ、ランチャーを再起動すると自動でパッチがダウンロード・適用されます。
  • バニラ以外のクライアント(ForgeやFablicなど)または非公式ランチャーの場合:
    そのクライアント/ランチャーの開発者の指示に従ってください。
    開発者側からこの脆弱性への対策が発表されていない場合は、対策を要請するかあきらめてください。
サーバー
  • 1.18.1以降: 対策不要です。
  • 1.18.0:
    1.18.1に更新してください。できないならば、1.17.xと同じようにしてください。
  • 1.17.x:
    起動時のコマンドライン(JVM引数)に下の一文を追加してください。
    -Dlog4j2.formatMsgNoLookups=true
  • 1.12.x~1.16.x:
    こちらから対策用ファイルをダウンロードしてサーバーと同じ場所に配置し、JVM引数に下の一文を追加してください。
    -Dlog4j.configurationFile=log4j2_112-116.xml
  • 1.7.x~1.11.x:
    こちらから対策用ファイルをダウンロードしてサーバーと同じ場所に配置し、JVM引数に下の一文を追加してください。
    -Dlog4j.configurationFile=log4j2_17-111.xml
  • 1.6.xまで: 対策不要です。
Bedrock EditionではLog4jは使用されていないため、対策不要です。

Re: Log4j対策

Posted: 2021年12月13日(月) 00:08
by yamagami2211
【重要なお知らせ】JAVA 版 MINECRAFT にセキュリティ上の脆弱性
https://www.minecraft.net/ja-jp/article ... edition-jp

一部のクライアントは情報が公開されているようです。
他にも見つければ追加します。
要約 : 長々と見たくない人向け
Show
  • Optifine
    公式ランチャーを利用している場合、修正されたものがダウンロードされます。
  • Forge
    以下のバージョン以降は修正されています。
    • 1.18 - 38.0.17
    • 1.17.1 - 37.1.1
    • 1.16.5 - 36.2.20
    • 1.15.2 - 36.2.20
    • 1.14.4 - 28.2.25
    • 1.13.2 - 25.0.222
    • 1.12.2 - 2-14.23.5.2857
  • Spigot
    以下のバージョンにパッチが適応されています。
    BuildToolsでビルドすることで取得できます。
    java -jar BuildTools.jar --rev 1.12.2など。
    • 1.8.8(BuildTools rev 582-a)
    • 1.9.4(BuildTools rev 849-a)
    • 1.10.2(BuildTools rev 986-a)
    • 1.11.2(BuildTools rev 1251-a)
    • 1.12.2(BuildTools rev 1573-k)
    • 1.13.2(BuildTools rev 2148-d)
    • 1.14.4(BuildTools rev 2502-c)
    • 1.15.2(BuildTools rev 2703-a)
    • 1.16.5(BuildTools rev 3096-a)
    • 1.17.1(BuildTools rev 3284-a)
    • 1.18(12月10日以降のすべてのバージョン)
    • 1.18.1(すべてのバージョン)
  • BungeeCord
    BungeeCordは影響を受けません。
  • Paper
    以下のバージョン以降は修正されています。
    • 1.16.5 - #792
    • 1.17 - #399
    • 1.18 - #66
  • Waterfall
    #468 は修正されています。
  • Velocity
    #98 は修正されています。
クライアント
  • Optifine
    While using the latest version of the official Minecraft launcher, all profiles (including OptiFine) on versions 1.12+ are protected from the log4j exploit.
    Google訳)
    公式のMinecraftランチャーの最新バージョンを使用している間、バージョン1.12 +のすべてのプロファイル(OptiFineを含む)はlog4jエクスプロイトから保護されます。
    @OptiFineHelp
  • Forge
    ATTENTION EVERYONE
    We have released hotfixes for all the forge versions where this was possible. We have bumped log4j to 2.15, and disabled the lookup feature via the config xml.
    UPDATE NOW!
    Don't delay it. Don't start the game. Don't run a server.
    Not until you have updated.
    Google訳)
    みんなに注意
    これが可能なすべてのForgeバージョンのホットフィックスをリリースしました。 log4jを2.15にバンプし、configxmlを介してルックアップ機能を無効にしました。
    今すぐアップデート!
    それを遅らせないでください。ゲームを開始しないでください。サーバーを実行しないでください。
    更新するまでは。
    @gigaherz
    GOOD VERSIONS
    - 1.18-38.0.17
    - 1.17.1-37.1.1
    - 1.16.5-36.2.20
    - 1.15.2-31.2.56
    - 1.14.4-28.2.25
    - 1.13.2-25.0.222
    - 1.12.2-14.23.5.2857
    Older version hotfixes are not currently planned, but alternative solutions are being considered.
    Google訳)
    -1.18-38.0.17
    -1.17.1-37.1.1
    -1.16.5-36.2.20
    -1.15.2-31.2.56
    -1.14.4-28.2.25
    -1.13.2-25.0.222
    -1.12.2-14.23.5.2857
    古いバージョンの修正プログラムは現在計画されていませんが、代替ソリューションが検討されています。
    @gigaherz
    ADDENDUM: We believe 1.7-1.11 client installs may automatically get the vanilla mitigation applied. However we don't have a "definitely safe" assurance to give yet.
    Meanwhile, you may want to use MultiMC, which loads the game with a patched log4j instead of the original.
    Google訳)
    補遺:1.7-1.11クライアントのインストールにより、バニラ緩和が自動的に適用される可能性があると考えています。ただし、「確実に安全な」保証はまだありません。
    一方、オリジナルの代わりにパッチを適用したlog4jを使用してゲームをロードするMultiMCを使用することをお勧めします。
    @gigaherz
サーバー
  • Spigot
    Hi All

    We have just pushed some out of schedule security releases for Spigot. These releases work around a security issue in log4j2, the logging library used by Minecraft. BungeeCord is unaffected.

    The following versions have been patched:
    • 1.8.8 (BuildTools rev 582-a)
    • 1.9.4 (BuildTools rev 849-a)
    • 1.10.2 (BuildTools rev 986-a)
    • 1.11.2 (BuildTools rev 1251-a)
    • 1.12.2 (BuildTools rev 1573-k)
    • 1.13.2 (BuildTools rev 2148-d)
    • 1.14.4 (BuildTools rev 2502-c)
    • 1.15.2 (BuildTools rev 2703-a)
    • 1.16.5 (BuildTools rev 3096-a)
    • 1.17.1 (BuildTools rev 3284-a)
    • 1.18 (all future versions)
    • 1.18.1 (all versions)
    You can obtain a patched server jar by re-running BuildTools with the appropriate revision, eg, java -jar BuildTools.jar --rev 1.12.2.

    Google訳)
    こんにちは、みんな

    Spigotのスケジュール外のセキュリティリリースをプッシュしました。 これらのリリースは、Minecraftで使用されるロギングライブラリであるlog4j2のセキュリティ問題を回避します。 BungeeCordは影響を受けません。

    次のバージョンにパッチが適用されています。
    • 1.8.8(BuildTools rev 582-a)
    • 1.9.4(BuildTools rev 849-a)
    • 1.10.2(BuildTools rev 986-a)
    • 1.11.2(BuildTools rev 1251-a)
    • 1.12.2(BuildTools rev 1573-k)
    • 1.13.2(BuildTools rev 2148-d)
    • 1.14.4(BuildTools rev 2502-c)
    • 1.15.2(BuildTools rev 2703-a)
    • 1.16.5(BuildTools rev 3096-a)
    • 1.17.1(BuildTools rev 3284-a)
    • 1.18(将来のすべてのバージョン)
    • 1.18.1(すべてのバージョン)
    パッチが適用されたサーバーjarを取得するには、適切なリビジョン(java -jar BuildTools.jar --rev 1.12.2など)を指定してBuildToolsを再実行します。

    Spigot Security Releases — 1.8.8–1.18 | SpigotMC
  • Paper
    A recently found exploit is already being abused. Depending on your server version this exploit is severe.
    We have released a fix for Paper 1.17, Paper 1.18, Waterfall and Velocity. Please update your servers ASAP.

    Fixed versions:
    Paper 1.16.5 #792 or higher: https://papermc.io/legacy
    Paper 1.17 #399 or higher: https://papermc.io/downloads#Paper-1.17
    Paper 1.18 #66 or higher: https://papermc.io/downloads#Paper-1.18
    Waterfall #468 or higher: https://papermc.io/downloads#Waterfall
    Velocity 3.1.1 #98 or higher: https://papermc.io/downloads#Velocity

    For more information see this twitter thread by slicedlime: https://twitter.com/slicedlime/status/1 ... 3527017483. You can also find more information and potential mitigations for older versions pinned in paper-help
    Google訳)
    最近発見されたエクスプロイトはすでに悪用されています。 サーバーのバージョンによっては、このエクスプロイトは深刻です。
    Paper 1.17、Paper 1.18、Waterfall andVelocityの修正をリリースしました。 サーバーをできるだけ早く更新してください。

    修正バージョン:
    Paper 1.16.5#792以降:https://papermc.io/legacy
    Paper 1.17#399以降:https://papermc.io/downloads#Paper-1.17
    Paper 1.18#66以降:https://papermc.io/downloads#Paper-1.18
    ウォーターフォール#468以降:https://papermc.io/downloads#Waterfall
    Velocity 3.1.1#98以降:https://papermc.io/downloads#Velocity

    詳細については、slicedlimeによるこのTwitterスレッドを参照してください: https://twitter.com/slicedlime/status/1 ... 3527017483。 また、紙のヘルプに固定された古いバージョンの詳細情報と潜在的な緩和策を見つけることができます

    Discord/papermc | メッセージリンク

特に1.7.10について Re: Log4j対策

Posted: 2022年4月28日(木) 03:34
by frou01
 パッチ等が降ってこなかった1.7.10ではありますが、ログ設定側で対策がされているようです。
 つまるところ、サーバーとやってることは同じですね。

 この設定はForgeにも適用されているはずですので、まず心配することは無い、というのが私の結論です。
 
 またサーバー側であれば、spigot・bukkit系のMohistというところは1.7.10についてもライブラリ変更までやってくれているようです。
All times are UTC+09:00
ページ 11

Powered by phpBB® Forum Software © phpBB Limited

Japanese translation principally by ocean