Minecraft(我的世界)中文论坛

 找回密码
 注册(register)

!header_login!

只需一步,立刻登录

查看: 28059|回复: 118

[快讯] 重要官方公告:Java 版中的安全漏洞

  [复制链接]
电量量 当前离线
积分
4004
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2018-3-9
查看详细资料
发表于 2021-12-10 22:05:59 | 显示全部楼层 |阅读模式

您尚未登录,立即登录享受更好的浏览体验!

您需要 登录 才可以下载或查看,没有帐号?注册(register)

x
本帖最后由 电量量 于 2021-12-11 07:29 编辑

重要
  • 关于 Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)十分严重,可能导致计算机资料安全受到严重威胁,请务必重视
  • 请各位使用第三方服务器的服主朋友们参见 https://www.mcbbs.net/thread-1283097-1-1.html 进行修复。

转载须知
  • 转载本贴时无需注明原作者以及本帖地址。





NEWS
Important Message: Security vulnerability in Java Edition
重要消息:Java 版中的安全漏洞

Follow these steps to secure your game
根据以下步骤保护你的游戏


Hello everyone! Earlier today, we identified a vulnerability in the form of an exploit within Log4j – a common Java logging library. This exploit affects many services – including Minecraft Java Edition.
各位好!今日早些时候,我们识别到在 Log4j——一个常用的 Java 日志库中存在重大安全漏洞。此漏洞波及到了许多服务——包括 Minecraft Java 版。

This vulnerability poses a potential risk of your computer being compromised, and while this exploit has been addressed with all versions of the game client patched, you still need to take the following steps to secure your game and your servers.
此漏洞使你的电脑有机会被损害。我们已经发布紧急更新,在所有受影响的游戏版本中封堵了此漏洞,你仍然需要通过以下几步来保护你的游戏和服务器。

What you need to do
你需要做什么


Official game client
官方游戏客户端

If you play Minecraft: Java Edition, but aren’t hosting your own server, you will need to take the following steps: Close all running instances of the game and the Minecraft Launcher. Start the Launcher again – the patched version will download automatically.
若你游玩 Minecraft:Java 版,但没有自己的服务器,你需要进行以下步骤:关闭所有正在运行的游戏实例和官方启动器。然后重启启动器,已修复的版本会自动下载。


Modified clients and third-party launchers
Mod 客户端和第三方启动器

Modified clients and third-party launchers might not be automatically updated. In these cases, we recommend following the advice of your third-party provider. If the third-party provider has not patched the vulnerability, or has not stated it is safe to play, you should assume the vulnerability is not fixed and you are at risk by playing.
Mod 客户端和第三方启动器可能没有实施修补。因此,我们建议你遵循你的第三方提供商的意见。如果第三方提供商尚未修补此漏洞,或仍未声明游戏可以安全游玩,你应该假设漏洞还没有被修复,游玩游戏存在很大风险。


Game Server
服务端

If you’re hosting your own Minecraft: Java Edition server, you'll need to take different steps depending on which version you’re using, in order to secure it.
如果你有自己的 Java 版服务器,你需要根据你的游戏版本进行不同的步骤,以保护你的电脑。

  • 1.18: Upgrade to 1.18.1, if possible. If not, use the same approach as for 1.17.x:
  • 1.18:升级到 1.18.1。如果这不可能,按照 1.17 的方法进行修补
  • 1.17: Add the following JVM arguments to your startup command line:
    -Dlog4j2.formatMsgNoLookups=true
  • 1.17:在你的启动脚本中加入如下 JVM 参数:
    -Dlog4j2.formatMsgNoLookups=true
  • 1.12-1.16.5: Download this file to the working directory where your server runs. Then add the following JVM arguments to your startup command line:
    -Dlog4j.configurationFile=log4j2_112-116.xml
  • 1.12-1.16.5:下载 此文件 到你的服务器的工作路径。然后在你的启动脚本中加入如下 JVM 参数:
    -Dlog4j.configurationFile=log4j2_112-116.xml
  • 1.7-1.11.2: Download this file to the working directory where your server runs. Then add the following JVM arguments to yourstartup command line:
    -Dlog4j.configurationFile=log4j2_17-111.xml
  • 1.7-1.11.2:下载 此文件 到你的服务器的工作路径。然后在你的启动脚本中加入如下 JVM 参数:
    -Dlog4j.configurationFile=log4j2_17-111.xml
  • Versions below 1.7 are not affected
  • 1.7 以下的版本不受影响

We’ll post any additional information on our social media channels, so keep an eye out! Thank you!
若有任何更多消息,我们将会在社交媒体上发布,同时我们也会在 MCBBS 幻翼块讯板块持续跟进官方消息,请务必持续关注!感谢您的理解和配合!




【电量量 译自官网 2021 年 12 月 10 日发布的 Important Message: Security vulnerability in Java Edition;原作者 Staff】
【本文排版借助了:SPXX



评分

参与人数 9人气 +18 金粒 +80 收起 理由
for(;;i++) + 1 MCBBS有你更精彩~
霖梵 + 1 MCBBS有你更精彩~
Dahesor + 2 Iava嘛
苦力怕553 + 2 破篓子游戏.png
炫宙菌 + 3 + 50 及时
ff98sha + 3 + 30 MCBBS有你更精彩~
poikcue + 1 工作路径就是和服务端在同一文件夹内.
时空寻觅者 + 2 MCBBS有你更精彩~
卡狗 + 3 MCBBS有你更精彩~

查看全部评分

时空寻觅者 当前离线
积分
4917
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2019-4-2
查看详细资料
发表于 2021-12-10 22:18:14 | 显示全部楼层
所以......真是只要重启启动器和游戏就好了?其他东西不用管?
回复

使用道具 举报

卡狗 当前离线
积分
18108
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2011-5-22
查看详细资料
发表于 2021-12-10 22:25:32 | 显示全部楼层
时空寻觅者 发表于 2021-12-10 22:18
所以......真是只要重启启动器和游戏就好了?其他东西不用管?

重启启动器会检查更新,下载最新版本,游戏也是
回复

使用道具 举报

时空寻觅者 当前离线
积分
4917
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2019-4-2
查看详细资料
发表于 2021-12-10 22:32:32 | 显示全部楼层
本帖最后由 时空寻觅者 于 2021-12-10 23:32 编辑
卡狗 发表于 2021-12-10 22:25
重启启动器会检查更新,下载最新版本,游戏也是

那如果是之前下载的其他的optifine或者forge端此类会不会受影响?

好吧,还是得等作者更新的
回复

使用道具 举报

帅帅的他爸 当前离线
积分
356
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2017-11-17
查看详细资料
发表于 2021-12-10 23:13:59 来自手机 | 显示全部楼层
PCL2最新版已经紧急修复了,可以用

评分

参与人数 1人气 +1 收起 理由
大海Da__Hai + 1 高呼666!

查看全部评分

回复

使用道具 举报

10935336 当前离线
积分
3247
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2012-6-1
查看详细资料
发表于 2021-12-10 23:57:38 | 显示全部楼层
1.7-1.11.2:下载 此文件 你的服务器的工作路径。然后在你的启动脚本中加入如下 JVM 参数:

下载 此文件 你

评分

参与人数 1人气 +2 收起 理由
电量量 + 2 MCBBS有你更精彩~

查看全部评分

回复

使用道具 举报

Lucier310 当前离线
积分
2115
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2016-2-21
查看详细资料
发表于 2021-12-11 00:21:12 | 显示全部楼层
官方启动器会自动更新吗?他不是说还需要自己添加参数嘛
回复

使用道具 举报

xmdhs 当前离线
积分
76186
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2016-4-24
查看详细资料
发表于 2021-12-11 00:54:39 | 显示全部楼层
时空寻觅者 发表于 2021-12-10 22:32
那如果是之前下载的其他的optifine或者forge端此类会不会受影响?

好吧,还是得等作者更新的[:Yaranaika: ...

官方的修复原理是通过设置 Log4j2 的配置文件,关闭出现问题的那个模块,来解决这个漏洞。这个配置文件的下载地址是包含在 json 文件中的。

通常来说,forge 和 optifine 会通过 inheritsFrom 继承对于原版的 json。
也就是运行一次对应的原版,之后 forge 什么的也就同样受到了修复。

简单的通过在聊天栏里输入 ${jndi:ldap://www.mcbbs.net}  就行,卡了就有问题,没卡就没问题。

评分

参与人数 3人气 +5 金粒 +34 收起 理由
斯乌 + 1 + 10 MCBBS有你更精彩~
时空寻觅者 + 2 + 12 感谢,不用重新下载了耶
buhuichongfu + 2 + 12 高人!

查看全部评分

回复

使用道具 举报

AzureZeng 当前离线
积分
15658
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2016-2-13
查看详细资料
发表于 2021-12-11 02:07:01 | 显示全部楼层
实际上,我现在更关心JavaWeb开发领域的情况是啥样。
据说为了修这个bug,有些程序员被大半夜叫起来修bug了.jpg

祝该bug早日修复,不管是Minecraft还是JavaWeb开发领域。

笑死,我最近还在研究怎么把SpringBoot自带的ch.qos.logback换成log4j2
回复

使用道具 举报

Jstzjgsc 当前离线
积分
184
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2021-8-17
查看详细资料
发表于 2021-12-11 06:59:56 | 显示全部楼层
官方启动器真的只要重启就行了吗
我重启了,也的确安装了一些更新,但是打开“关于”以看,启动器下面的信息是“Windows 10.0 2.2.8116 星期五 2021年12月3日”,点击旁边查看更新了什么,写的是12月7日,版本2.2.8116,下面的更新内容根本没提到Log4j
是不是我这边启动器有问题?

评分

参与人数 1人气 +1 收起 理由
马可solo + 1 启动器本身当然不会更新

查看全部评分

回复

使用道具 举报

电量量 当前离线
积分
4004
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2018-3-9
查看详细资料
 楼主| 发表于 2021-12-11 07:31:08 来自手机 | 显示全部楼层
Jstzjgsc 发表于 2021-12-11 06:59
官方启动器真的只要重启就行了吗
我重启了,也的确安装了一些更新,但是打开“关于”以看,启动器下面的信 ...

没问题,这次修补和启动器版本无关,如果你重启启动器再打开游戏,启动器会自动下载修补过的版本
回复

使用道具 举报

电量量 当前离线
积分
4004
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2018-3-9
查看详细资料
 楼主| 发表于 2021-12-11 07:31:57 来自手机 | 显示全部楼层
AzureZeng 发表于 2021-12-11 02:07
实际上,我现在更关心JavaWeb开发领域的情况是啥样。
据说为了修这个bug,有些程序员被大半夜叫起来修bug了 ...

确实是对 web 冲击更大,毕竟无数应用全部都有这个依赖
回复

使用道具 举报

jia2567565470 当前离线
积分
323
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2017-7-2
查看详细资料
发表于 2021-12-11 08:29:02 | 显示全部楼层
xmdhs 发表于 2021-12-11 00:54
官方的修复原理是通过设置 Log4j2 的配置文件,关闭出现问题的那个模块,来解决这个漏洞。这个配置文件的 ...

大大您好,我是用的pcl启动器已经更新到了最新版,在聊天栏里输入那个命令,游戏直接崩溃了,崩溃报告在这里https://paste.ubuntu.com/p/5f8yGm3kD2/,请问这证明是修复好了吗?我的游戏版本是1.7.10
回复

使用道具 举报

HYT_189 当前离线
积分
71
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2020-5-13
查看详细资料
发表于 2021-12-11 08:32:25 | 显示全部楼层
太棒了,我在1.12.2服务器上试了一下,完美修复
回复

使用道具 举报

lry314 当前离线
积分
772
帖子
主题
精华
贡献
爱心
钻石
人气
下界之星
最后登录
1970-1-1
注册时间
2020-11-27
查看详细资料
发表于 2021-12-11 08:35:33 | 显示全部楼层
虽然1.7以下不受影响,但是这年头谁还用1。7以下开服啊(汗)
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册(register)

本版积分规则

Archiver|小黑屋|Mcbbs.net ( 京ICP备15023768号-1 ) | 京公网安备 11010502037624号 | 手机版

GMT+8, 2022-1-22 17:44 , Processed in 0.080313 second(s), Total 26, Slave 25 queries, Release: Build.2021.11.26 1022, Gzip On, Redis On.

"Minecraft"以及"我的世界"为Mojang Synergies AB的商标 本站与Mojang以及微软公司没有从属关系

© 2010-2020 我的世界中文论坛 版权所有 本站原创图文内容版权属于原创作者,未经许可不得转载

快速回复 返回顶部 返回列表