Javaでログ出力に関するライブラリ「log4j2」で任意のリモートコードを実行される重大な脆弱性が発見されました。
バニラ、Spigot、Paperなど全Minecraft(マイクラ)サーバーに既に攻撃が始まっているとのことですので、管理者は今すぐサーバーを止め、最新バージョンにしてください。
log4j2脆弱性!マイクラ全サーバー(バニラ、Spigot、Paperなど)
Release log4j-2.15.0-rc1 · apache/logging-log4j2
copy for tag log4j-2.15.0-rc1
Apache Log4j2にリモートコード実行の脆弱性が存在することが明らかになりました。
攻撃者は、この脆弱性を利用して、特殊なデータ要求パケットを構築し、最終的にリモートコードの実行を引き起こすことができます。この脆弱性の影響は広範囲に及びます。
バニラ、Spigot、Paperなど全Minecraft(マイクラ)サーバーに既に攻撃が始まっているとのことですので、管理者は今すぐサーバーを止め、最新バージョンにしてください。
■影響を受けるバージョン
2.0 <= Apache log4j2 <= 2.14.1
「java -jar BuildTools.jar –rev 1.12.2」のように、適切なリビジョンのBuildToolsを再実行することで、最新版のlog4j2をインストールできます。
「< 1.17.1」を使用していて、サーバの jar ファイルを変更したり、「-Dlog4j.configurationFile=」 Java引数を使用するなどして、カスタムの log4j2.xml を使用している場合は、出現するすべての「%msg」を「%msg{nolookups}」で置き換える必要があります。
また、Javaを関連するバージョンの最新のビルドに更新することを強くお勧めします。
log4j2の今後のアップデートについては、下記のスレッドを定期的にチェックしてください。
x.com