IT之家 12 月 13 日消息,最近的 Log4j 漏洞想必大家都知道了,11 月 9 日晚,開源項目 Apache Log4j 2 的一個遠端代碼執行漏洞的利用細節被公開,随後該漏洞被迅速公開。
《我的世界》Java 版成為受其危害嚴重的遊戲之一,該漏洞允許惡意方通過将消息粘貼到遊戲内聊天框來遠端執行 Minecraft 伺服器上的代碼。Mojang 已釋出緊急更新,要求玩家盡快更新到最新版本。
IT之家了解到,除了更新用戶端,Mojang 表示仍需要一些步驟:
官方遊戲用戶端
如果你玩的是《我的世界》Java 版,但沒有托管自己的伺服器,需要執行以下步驟:
關閉遊戲和 Minecraft Launcher 的所有正在運作的執行個體。再次啟動啟動器 —— 更新檔版本将自動下載下傳。
修改後的用戶端和第三方啟動器
修改後的用戶端和第三方啟動器可能不會自動更新。在這些情況下,Mojang 建議玩家遵循第三方提供商的建議。如果第三方供應商沒有修補漏洞,或者沒有聲明可以安全地遊玩,你應該假設漏洞沒有修複并且在玩遊戲時有風險。
自建伺服器
如果你托管自己的《我的世界》Java 版伺服器,則需要根據使用的版本采取不同的步驟,以確定其安全:
1.18:如果可以的話,更新到 1.18.1 版本。如果沒有,請使用與 1.17.x 相同的方法。
1.17:将以下 JVM 參數添加到啟動指令行:
-Dlog4j2.formatMsgNoLookups=true
1.12-1.16.5:将此檔案下載下傳到伺服器運作的工作目錄。然後将以下 JVM 參數添加到啟動指令行:
-Dlog4j.configurationFile=log4j2_112-116.xml
1.7-1.11.2:将此檔案下載下傳到伺服器運作的工作目錄。然後将以下 JVM 參數添加到啟動指令行:
-Dlog4j.configurationFile=log4j2_17-111.xml
低于 1.7 的版本不受影響