📰 此贴为补发内容,基于 2021-12-10 凌晨 灵工艺用户群 内发布的公告 由群成员 @/dev/null 提醒发布。
漏洞信息
- 漏洞等级:高危
- 攻击类型:远程代码执行
- 漏洞组件名称:Apache log4j2
- 存在漏洞组件版本范围:2.0 至 2.16.0
受影响范围
受影响的 JVM 范围
- Java 6 低于 6u212
- Java7 低于 7u202
- Java8 低于 8u192
- Java11 低于 11.0.2
受影响的 Minecraft 范围
- Minecraft 1.7.x 至 Minecraft 1.18.x
修复方案
方案一 添加额外参数 推荐
注:仅支持 log4j2 2.10.x 以及以上版本
启动时附加参数 -Dlog4j2.formatMsgNoLookups=true
方案二 升级服务器游戏版本 推荐
目前Mojang官方已发布 1.18.1 此版本已修复此漏洞。1.18 可无缝升级至此版本。
方案三 手动替换 log4j2 不推荐
可查看此贴 传送门 手把手教你修漏洞™(仅限官方尚未发布修复时的情况) 部分
第三方服务端修复情况
Paper
- 1.18 #64
- 1.17.1 #398
- 1.16.5 #792
- Waterfall #466
Purpur
CatServer
Spigot
- 1.8.8 (BuildTools 版本 582-a)
- 1.9.4 (BuildTools 版本 849-a)
- 1.10.2 (BuildTools 版本 986-a)
- 1.11.2 (BuildTools 版本 1251-a)
- 1.12.2 (BuildTools 版本 1573-k)
- 1.13.2 (BuildTools 版本 2148-d)
- 1.14.4 (BuildTools 版本 2502-c)
- 1.15.2 (BuildTools 版本 2703-a)
- 1.16.5 (BuildTools 版本 3096-a)
- 1.17.1 (BuildTools 版本 3284-a)
- 1.18.1 (所有未来版本)
Arclight
Mohist
- 1.16.5 最新已修复
- 1.12.2 最新已修复
LoliServer
Forge
- 1.18-38.0.17
- 1.17.1-37.1.1
- 1.16.5-36.2.20
- 1.15.2-31.2.56
- 1.14.4-28.2.24
- 1.13.2-25.0.221
- 1.12.2-14.23.5.2856
Fabric
Fabric 建议使用 1.17 和 1.18 服务端的服主立即更新服务端的 Fabric Loader 为最新版本,或尽可能地更新至 Minecraft 1.18.1。
参考文章
