スウェーデンのビデオゲーム開発会社Mojang Studiosは、同ゲームのJava Editionクライアントとマルチプレイヤーサーバーで使用されているApache Log4j Javaロギングライブラリの重要なバグに対処するため、Minecraftのセキュリティアップデートを緊急リリースしました。
この脆弱性はJava Edition 1.18.1リリースで修正され、すべてのユーザに配布されています。
このリリースでは、マルチプレイヤー・サーバーの重要なセキュリティ問題が修正され、ワールド・フォグの動作方法が変更されてワールドがより多く見えるようになり、その他にもいくつかのバグが修正されています
マルチプレイヤーサーバーを運用している方は、できるだけ早くこのバージョンにアップグレードすることを強くお勧めします。
プレイヤーの安全は私たちの最優先事項です。残念ながら、本日未明に『Minecraft』にセキュリティ上の脆弱性があることが判明しました。Java Editionにセキュリティ上の脆弱性を発見しました。
この問題にはパッチが当てられていますが、以下の手順でゲームクライアントやサーバーの安全を確保してください。またRTしてください。
https://www.minecraft.net/ja-jp/article/important-message–security-vulnerability-java-edition
この脆弱性に対処するため、すべてのバージョンのゲームクライアントにパッチが適用されましたが、ゲームとサーバーを保護するために、以下の手順を実行する必要があります。
公式ゲームクライアントの場合
Minecraft をプレイしている場合、Java Edition をプレイしているが、自分のサーバーをホストしていない場合は、次の手順を実行する必要があります。
起動しているゲームと Minecraft Launcher のインスタンスをすべて閉じます。再度 Launcher を起動すると、パッチが適用されたバージョンが自動的にダウンロードされます。
カスタマイズクライアントとサードパーティ製ランチャーの場合
カスタマイズされたクライアントやサードパーティ製ランチャーは、自動的にアップデートされない場合があります。
このような場合には、サードパーティのプロバイダーのアドバイスに従うことをお勧めします。
サードパーティの提供者が脆弱性にパッチを当てていない、あるいはプレイしても安全であると述べていない場合は、脆弱性が修正されていないと考え、プレイすることでリスクを負うことになります。
ゲームサーバー
独自のMinecraft.Java Editionサーバーをホストしている場合、安全性を確保するためには、使用しているバージョンに応じて異なる手順を踏む必要があります。
1.18: 可能であれば 1.18.1 にアップグレードしてください。アップグレードできない場合は、1.17.xと同じ方法で行います。
1.17: 起動時のコマンドラインに以下のJVM引数を追加してください。
-Dlog4j2.formatMsgNoLookups=true
1.12-1.16.5: このファイルを、サーバーが動作する作業ディレクトリにダウンロードします。そして、起動時のコマンドラインに以下のJVM引数を追加します。
-Dlog4j.configurationFile=log4j2_112-116.xml
1.7-1.11.2: このファイルを、サーバーが動作する作業ディレクトリにダウンロードします。そして、起動時のコマンドラインに以下のJVM引数を追加します。
-Dlog4j.commercialFile=log4j2_17-111.xml
1.7以前のバージョンには影響はありません。
リモートコード実行を積極的に利用する脆弱性
このバグは、CVE-2021-44228として追跡され、Log4ShellまたはLogJamと呼ばれています。
このバグは、JavaベースのロギングライブラリであるApache Log4jに見つかったリモートコード実行(RCE)の欠陥であり、Alibaba Cloudのセキュリティチームによって報告されました。
この欠陥は、Apache Struts2、Apache Solr、Apache Druid、Apache Flinkなど、Apple、Amazon、Cloudflare、Twitter、Steamなどの無数のエンタープライズソフトウェア製品で使用されている複数のApacheフレームワークのデフォルト設定に影響を与えます。
攻撃者たちは、すでにインターネット上で脆弱なシステムを大量にスキャンしており、CERT NZのセキュリティアドバイザリーによると実世界でも積極的に悪用されているとのことです。
Apacheは、この最大深刻度の脆弱性に対応したLog4j 2.15.0をすでにリリースしています。CVE-2021-44228は以前のリリース(2.10以降)においても、システムプロパティの「log4j2.formatMsgNoLookups」を「true」に設定するか、クラスパスからJndiLookupクラスを削除することで防御することができます。
セキュリティ企業のLunasec社は、CVE-2021-44228の攻撃の深刻さを強調し、
多くのサービスがこのエクスプロイトに対して脆弱です。SteamやApple iCloudなどのクラウドサービスや、Minecraftなどのアプリがすでに脆弱であることが判明しています。
Apache Strutsを使用している人は、おそらく脆弱性があります。以前にも、2017年のEquifaxデータ流出のような情報漏えい事件で、同様の脆弱性が悪用されたことがあります
Comments