Javaのライブラリ「log4j2」 外部からコマンド実行可能な脆弱性が発見される ヤバすぎ騒然 対処方法は???
SNSでの反応をまとめました
Spigot、Paper、Fabric Loaderをご利用の方は最新バージョンに更新してください。
バニラサーバーをご利用の方は弥縫策としてJavaのサーバーの起動オプションに「-Dlog4j2.formatMsgNoLookups=true」を追加してください。
必ず最新バージョンを随時確認してください。https://t.co/nQ8bhzCGLF— SaziumR (@SaziumR) December 10, 2021
【重要】バニラ、Spigot、Paperなど全Minecraftサーバーでログインに関するライブラリ「log4j2」に任意のリモートコードを実行される重大な脆弱性が発見されました。既に攻撃が始まっているとのことですので、管理者は今すぐサーバーを止め、最新バージョンにしてください。https://t.co/8EWDGwrLWI
— SaziumR (@SaziumR) December 10, 2021
log4j2の脆弱性
JMSAppenderを使っている場合1にも影響— Face McShooty (@RustCommonsWest) December 10, 2021
バージョン1.17以降でのみ公式の修正バージョンが現在リリースされているようです。改造されたバージョンには適用できていない可能性があるため、使用を控えてください。https://t.co/gqIbAi9eAC https://t.co/7HMmrvtiYW
— SaziumR (@SaziumR) December 10, 2021
Log4j2使ってなくて助かった
— うえすぎ.war (@takeda_SE) December 10, 2021
log4j2の脆弱性RCEかよヤバいな
— わかめそば (@wakamesoba98) December 10, 2021
log4j2のやつ3行で教えて下さい
— 誰か僕の右股関節と性根を何とかしてください (@kamekoopa) December 10, 2021
公式Minecraftより、修正バージョンがリリースされました。サーバーがまだ動いている方は今すぐ停止させ、最新バージョンのクライアントとサーバーを使用するようにしてください。https://t.co/gPu63ofaIp
— SaziumR (@SaziumR) December 10, 2021
Elasticsearch と Log4j2 で slowlog を有効にすると
悪意あるユーザー入力を含んだクエリーのログ出力がトリガーになりそうで怖い
$ とか出力時にエスケープされる?— m.yuzuki (@ephemeralsnow) December 10, 2021
ネトスマ鯖はlog4j2とfloggerを使ってます。結構いいと思いますよ!
— 鵺 (@nuenueSSB) December 10, 2021
log4j2の脆弱性報告を受け、対応が完了するまですずらんサーバーを一時的に閉鎖する事としました。再公開までしばしお待ちください…#すずらんサーバー
— すずらんサーバー公式 (@suzuran_server) December 10, 2021
サーバーの管理者は前述のJVMオプションの「-Dlog4j2.formatMsgNoLookups=true」フラグで弥縫策になることが開発者より確認されました。バージョン1.18.1まではこちらでしのいでください。https://t.co/GEBvEGHmId
— SaziumR (@SaziumR) December 10, 2021
統合版Minecraftにて今年の Minecraft LIVEで発表された「スカルクシュリーカー」と「ウォーデン」が開発中とのことです。 https://t.co/joYTPQqHjz
— SaziumR (@SaziumR) December 10, 2021
わぁいlog4j2じゃないlog4j(以下自粛
— Yamamoto@健康が1番 (@yamamoto_febc) December 10, 2021
訂正:「log4j2」はログインではなく、ロギングのためのライブラリです。いずれにせよ対策を早急に行ってください。
— SaziumR (@SaziumR) December 10, 2021
Java版のみです。
なお、Minecraft公式バージョンは修正バージョンがリリースされております。ランチャーを再起動すれば自動的にインストールされるようになっています。MODの対応が確認できないため OptiFineなどの利用もやめてください。念のため、修正バージョンでもサーバーに入らないでください。— SaziumR (@SaziumR) December 10, 2021
minecraft鯖,ひとまずLog4j2への対応をしておいたけど,まだ閉じといたほうがいいかなぁ.
— シェレス(・✇・) VRCはじめました (@shirry0129) December 10, 2021
Minecraft 1.18.1リリース候補版3がリリースされました。
大変重大なセキュリティ問題が修正されています。必ずこちらのバージョンを使用するようにお願いします。 https://t.co/i9bsp9xSo9— SaziumR (@SaziumR) December 10, 2021
Log4j2 マジなのですかこれ
— かみかみ (@pikatenor) December 10, 2021
log4j2の対応、なるべく早くやりたいのに今日忙しいんだよなぁ…
— rukekam (@rukekam) December 10, 2021
これでサーバー側(1.17)は問題なかったの確認できたけど、、うちのプレイヤー側すべてにこれをお願いするのは不可能と判断。
アップデートを待つしかないかなって思ってます。 https://t.co/UIXomcy8Ku— takatronix (@takatronix) December 10, 2021
log4j2だけじゃ無くlog4jも脆弱性ありそうらしいので影響範囲さらに広がりそう
— まろみ♨️ (@malo_yaka) December 10, 2021
log4j2お祭り騒ぎじゃん
こういうイベントをリアルタイムで見るの初めてだから楽しい— しめじちゃん (@kireji_pgm) December 10, 2021
最新バージョン以外でも、Minecraftを再起動すれば修正バージョンがインストールされるようになっているようです。
しかし、バージョン1.12以降のようですので、バージョン1.8〜1.12をご利用の方は今すぐに利用を停止することが推奨されています。https://t.co/V38DvJK1GX— SaziumR (@SaziumR) December 10, 2021
サーバーが対策を行ったことを確認確認できない場合は絶対にどんなサーバーも参加しないでください。バージョン1.8〜1.18まで該当します。また、少なくとも1.12.2では「formatMsgNoLookups」フラグでは治らないことが確認されたとのことです。https://t.co/UAL4FAWdcH
— SaziumR (@SaziumR) December 10, 2021
原因:log4j2って名前のjavaのライブラリ
できること:任意のコードの実行(無制限)例えばマイクラのサーバーのチャットである文字列を送るとサーバー側で何でもできる(OP不正取得はもちろんウイルス挿入も簡単)
— ZOI (@ZOI_dayo) December 10, 2021
log4j2 、他人事だと思ってたけどマイクラか〜
— ユーン🍆💉💉 (@euxn23) December 10, 2021
使用バージョンは関係なく、ランチャーを再起動すれば、修正バージョンが自動的にインストールされるようになっています。ランチャーとゲームを両方再起動するように行ってください。https://t.co/qkwYDxsNlx
— SaziumR (@SaziumR) December 10, 2021
【Minecraft・重要・拡散希望】
Minecraft 1.8〜1.18をご利用の方全員にお知らせ致します。
Minecraftに大変重大な脆弱性が発見されました。攻撃は始まっています。今のところ、どんなサーバーも参加しないでください。サーバーは停止させてください。必ず安全を確認してから復帰してください。 https://t.co/FypiEhclAI— SaziumR (@SaziumR) December 10, 2021