作者LPH66 ( )
看板Minecraft
标题[情报] 1.18.1 & 安全性漏洞修补注意事项
时间Fri Dec 10 23:03:00 2021
1.18.1 已经释出, 照往例的话我只会在上面 pre 的文章改标题而已
但这次修正包含了一个昨天才刚发现的 0-day 安全性漏洞 CVE-2021-44228
攻击者可以藉由聊天窗输入特定字串以进行攻击
所以另起一篇文章转述官方提供的处理方式:
(官方文章详细:
https://reurl.cc/dxYM26 )
使用官方启动器的玩家请关闭目前已开启的麦块游戏及启动器并重新开启
重启时就会下载已修正的版本 (修正已经回溯修补到所有受影响的版本 1.7.X~1.18.0)
官方伺服器的因应方式:
1.18 伺服器请升级或使用 1.17 修正
1.17 伺服器请在启动参数加上 -Dlog4j2.formatMsgNoLookups=true
1.12~1.16.5 伺服器请下载官方文章中这一项後面的档案 (log4j2_112-116.xml)
放在和伺服器档案同样位置後
在启动参数加上 -Dlog4j.configurationFile=log4j2_112-116.xml
1.7~1.11.2 同样也请下载这一项後面的档案 (log4j2_17-111.xml) 放在一起後
在启动参数加上 -Dlog4j.configurationFile=log4j2_17-111.xml
第三方伺服器请去该伺服器官网下载对应的新版本, 各大第三方伺服器应该都已经修补了
模组或模组包也请参照各自作者说明下载对应新版本进行修正
--
1985/01/12 三嶋鸣海 1989/02/22 优希堂悟 1990/02/22 冬川こころ 1993/07/05 小町
つぐみ 欢迎来到 1994/05/21 高江ミュウ 1997/03/24 守野いづみ 1997/03/24 伊野瀬
チサト 1998/06/18 守野くるみ 打越钢太郎的 1999/10/19 楠田ゆに 2000/02/15 樋口遥
2002/12/17 八神ココ 2011/01/11 HAL18於朱仓岳坠机 ∞与∫的世界 2011/04/02 茜崎空
启动 2012/05/21 第貮日蚀计画预定 2017/05/01~07 LeMU崩坏 2019/04/01~07 某大学合宿
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 49.159.72.196 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Minecraft/M.1639148583.A.708.html
※ LPH66:转录至看板 C_Chat 12/10 23:03
※ 编辑: LPH66 (180.217.116.73 台湾), 12/11/2021 00:49:14
1F:推 anderwei: 天啊,刚刚赶快把伺服器先下线了 12/11 02:20
2F:→ anderwei: 等早上比较有空的时间再来修补 12/11 02:20
3F:推 okery: 推 12/11 02:39
4F:推 steven56138: 只有java吗 12/11 10:48
5F:推 Kenqr: 这是java函式库的漏洞,所以只会影响java版 12/11 12:58
6F:推 Gwaewluin: 1.12以下没有办法修,那些1.12的模组伺服器大概有风险 12/11 18:53
7F:推 anderwei: MultiMC目前是强迫Minecraft去使用新版的Log4j绕过这个 12/11 23:42
8F:→ anderwei: 漏洞,且包括所有旧版的Minecraft与Forge,能暂缓Clien 12/11 23:42
9F:→ anderwei: t端的状况,但Forge的Server如楼上所说只修了1.12以上 12/11 23:42
10F:→ anderwei: 的,所以伺服端还是逃不太掉 12/11 23:42
11F:推 leegogo: 推推 12/12 14:33
12F:推 ferretwind: 感觉PaperMC可以躲过这个漏洞? 12/12 20:44
13F:→ LPH66: 一样会喔, 我简单 google 一下就有看到 POC 影片 12/12 23:09
14F:→ LPH66: 所以还是去更新版本最好 12/12 23:09
15F:→ LPH66: (POC: Proof of Concept 可行性验证) 12/12 23:09
16F:推 ferretwind: 谢谢!! 12/13 10:02
17F:推 bathtowel: 想问一下 如果要用fabric之类的客户端 也是更新原版的 12/13 11:02
18F:→ bathtowel: 就够了吗 还是也要等fabric那边更新 12/13 11:02
19F:→ LPH66: fabric 应该也包含修正了, 可以更新 fabric 版本 12/13 11:52
20F:→ LPH66: 照我搜寻到的资料是 0.12.9 就有包含 12/13 11:53
21F:→ bathtowel: 感谢 12/13 18:47
22F:推 j6u47803: 刚刚有找到一个修复漏洞的插件感觉还不错用 12/14 12:09
23F:→ j6u47803: log4jJndiFixer 插件名称 12/14 12:09
24F:→ j6u47803: 支援1.7-1.18 12/14 12:10