【重要】バニラ、Spigot、Paperなど全Minecraftサーバーでログインに関するライブラリ「log4j2」に任意のリモートコードを実行される重大な脆弱性が発見されました。既に攻撃が始まっているとのことですので、管理者は今すぐサーバーを止め、最新バージョンにしてください。

spigotmc.org/threads/securi…

— SaziumR (@SaziumR) Dec 10, 2021

統合版Minecraftにて今年の Minecraft LIVEで発表された「スカルクシュリーカー」と「ウォーデン」が開発中とのことです。 twitter.com/kingbdogz/stat…

— SaziumR (@SaziumR) Dec 10, 2021

Spigot、Paper、Fabric Loaderをご利用の方は最新バージョンに更新してください。
バニラサーバーをご利用の方は弥縫策としてJavaのサーバーの起動オプションに「-Dlog4j2.formatMsgNoLookups=true」を追加してください。
必ず最新バージョンを随時確認してください。

twitter.com/minecraftathom…

— SaziumR (@SaziumR) Dec 10, 2021

訂正：「log4j2」はログインではなく、ロギングのためのライブラリです。いずれにせよ対策を早急に行ってください。

— SaziumR (@SaziumR) Dec 10, 2021

サーバーが対策を行ったことを確認確認できない場合は絶対にどんなサーバーも参加しないでください。バージョン1.8〜1.18まで該当します。また、少なくとも1.12.2では「formatMsgNoLookups」フラグでは治らないことが確認されたとのことです。

twitter.com/realsalc1/stat…

— SaziumR (@SaziumR) Dec 10, 2021

公式Minecraftより、修正バージョンがリリースされました。サーバーがまだ動いている方は今すぐ停止させ、最新バージョンのクライアントとサーバーを使用するようにしてください。

twitter.com/slicedlime/sta…

— SaziumR (@SaziumR) Dec 10, 2021

最新バージョン以外でも、Minecraftを再起動すれば修正バージョンがインストールされるようになっているようです。
しかし、バージョン1.12以降のようですので、バージョン1.8〜1.12をご利用の方は今すぐに利用を停止することが推奨されています。

twitter.com/slicedlime/sta…

— SaziumR (@SaziumR) Dec 10, 2021

Minecraft 1.18.1リリース候補版3がリリースされました。
大変重大なセキュリティ問題が修正されています。必ずこちらのバージョンを使用するようにお願いします。 twitter.com/slicedlime/sta…

— SaziumR (@SaziumR) Dec 10, 2021

【Minecraft・重要・拡散希望】
Minecraft 1.8〜1.18をご利用の方全員にお知らせ致します。
Minecraftに大変重大な脆弱性が発見されました。攻撃は始まっています。今のところ、どんなサーバーも参加しないでください。サーバーは停止させてください。必ず安全を確認してから復帰してください。 twitter.com/saziumr/status…

— SaziumR (@SaziumR) Dec 10, 2021

使用バージョンは関係なく、ランチャーを再起動すれば、修正バージョンが自動的にインストールされるようになっています。ランチャーとゲームを両方再起動するように行ってください。

twitter.com/slicedlime/sta…

— SaziumR (@SaziumR) Dec 10, 2021

Java版のみです。
なお、Minecraft公式バージョンは修正バージョンがリリースされております。ランチャーを再起動すれば自動的にインストールされるようになっています。MODの対応が確認できないため OptiFineなどの利用もやめてください。念のため、修正バージョンでもサーバーに入らないでください。

— SaziumR (@SaziumR) Dec 10, 2021

サーバーの管理者は前述のJVMオプションの「-Dlog4j2.formatMsgNoLookups=true」フラグで弥縫策になることが開発者より確認されました。バージョン1.18.1まではこちらでしのいでください。
twitter.com/slicedlime/sta…

— SaziumR (@SaziumR) Dec 10, 2021

バージョン1.17以降でのみ公式の修正バージョンが現在リリースされているようです。改造されたバージョンには適用できていない可能性があるため、使用を控えてください。
twitter.com/slicedlime/sta… twitter.com/slicedlime/sta…

— SaziumR (@SaziumR) Dec 10, 2021

これでサーバー側(1.17)は問題なかったの確認できたけど、、うちのプレイヤー側すべてにこれをお願いするのは不可能と判断。
アップデートを待つしかないかなって思ってます。 twitter.com/SaziumR/status…

— takatronix (@takatronix) Dec 10, 2021

log4j2の脆弱性RCEかよヤバいな

— わかめそば (@wakamesoba98) Dec 10, 2021

log4j2の脆弱性
JMSAppenderを使っている場合1にも影響

— Face McShooty (@RustCommonsWest) Dec 10, 2021

わぁいlog4j2じゃないlog4j(以下自粛

— Yamamoto@健康が1番 (@yamamoto_febc) Dec 10, 2021

Elasticsearch と Log4j2 で slowlog を有効にすると
悪意あるユーザー入力を含んだクエリーのログ出力がトリガーになりそうで怖い
$ とか出力時にエスケープされる？

— m.yuzuki (@ephemeralsnow) Dec 10, 2021

log4j2のやつ3行で教えて下さい

— 誰か僕の右股関節と性根を何とかしてください (@kamekoopa) Dec 10, 2021

Log4j2使ってなくて助かった

— うえすぎ.war (@takeda_SE) Dec 10, 2021

@kidbell64 ネトスマ鯖はlog4j2とfloggerを使ってます。結構いいと思いますよ！

— 鵺 (@nuenueSSB) Dec 10, 2021

log4j2お祭り騒ぎじゃん
こういうイベントをリアルタイムで見るの初めてだから楽しい

— しめじちゃん (@kireji_pgm) Dec 10, 2021

log4j2 、他人事だと思ってたけどマイクラか〜

— ユーン🍆💉💉 (@euxn23) Dec 10, 2021

原因:log4j2って名前のjavaのライブラリ
できること:任意のコードの実行(無制限)

例えばマイクラのサーバーのチャットである文字列を送るとサーバー側で何でもできる(OP不正取得はもちろんウイルス挿入も簡単)

— ZOI (@ZOI_dayo) Dec 10, 2021

Log4j2 マジなのですかこれ

— かみかみ (@pikatenor) Dec 10, 2021

log4j2の対応、なるべく早くやりたいのに今日忙しいんだよなぁ...

— rukekam (@rukekam) Dec 10, 2021

log4j2だけじゃ無くlog4jも脆弱性ありそうらしいので影響範囲さらに広がりそう

— まろみ♨️ (@malo_yaka) Dec 10, 2021

minecraft鯖，ひとまずLog4j2への対応をしておいたけど，まだ閉じといたほうがいいかなぁ．

— シェレス(・✇・) VRCはじめました (@shirry0129) Dec 10, 2021

log4j2の脆弱性報告を受け、対応が完了するまですずらんサーバーを一時的に閉鎖する事としました。再公開までしばしお待ちください...
#すずらんサーバー

— すずらんサーバー公式 (@suzuran_server) Dec 10, 2021

log4j2のやつ何がどうしてそうなったんだ?
(わけわからんからこそ脆弱性として残っているのであろうが)

— ぐあにん (@__guanine) Dec 10, 2021

Log4j2の脆弱性、割とやばい。

— やぐちはるお (@haruo2177) Dec 10, 2021

Log4j2が盛り上がっている( ˘ω˘)

— りつ＠4h (@ritsu2501) Dec 10, 2021

log4j2は一旦見なかったことにする

— sam41 (@samturn) Dec 10, 2021

log4j2这次漏洞，号称干垮了半个互联网，好像对草台班子没效果…因为草台班子不打日志 全靠systemout [呲牙][呲牙]草台班子立功了

— ShadowOfSoul (@chaoos_soul) Dec 10, 2021

log4jとlog4j2って完全に別物なんだが、混同している人が散見されるんですよね…

— がばたーる (@gavatar39) Dec 10, 2021

マインクラフトのサーバ、log4j2使ってるのね（初めて知った

— HOUKOU999 (@HOUKOU999) Dec 10, 2021

log4j2やばいのか…

— るるる@FinalActかも？ (@rururu3) Dec 10, 2021

マイクラ、サーバー建ててるからlog4j2の脆弱性とやらは他人事じゃないんだけど、とりあえずフォロワーとしかやってないのでプレイ中以外は閉じてるから大丈夫だな？🤔　ようすみよ…

— ダイエッターあやめ☘️ (@ayame_fj) Dec 10, 2021

log4j2、どのJavaアプリケーションに組み込まれてるかが分からないのでとても怖いですねぇ

— 須安 愛飲 (@SUAN_MAIN) Dec 10, 2021

脆弱性が報告されているlog4j2に対して、当サーバーでも稼働を辞め、状況の監視とセキュリティの対応が完了するまでメンテナンスとする処置を行います。

— 寝床鯖@公式 (@nedoko_info) Dec 10, 2021

全員log4j2の話してるけど有名なの？わたしは初めて聞いた

— へきしん (@Hexium310) Dec 10, 2021

とりあえずlog4j2の対策は一通り入れつつ、ログメッセージに `jndi`が入ってたらアラート出すようにしてみた

— moznion (@moznion) Dec 10, 2021

Javaよくわからんけど、なんかログライブラリのlog4j(log4j2)で文字通りの任意コード実行ができるらしく、解説記事読みながらなんかほへーっってなってる。

— verylowfreq (@verylowfreq) Dec 10, 2021

なにLog4j2で脆弱性出てんの？？？？

って一瞬焦ったけど今のプロジェクトでは使ってないですね多分しらんけどまあ少なくとも私はその辺の管理短刀じゃない……

— 和佐 (@wasa_373) Dec 10, 2021

パッチはすでに昨日出てるので、すかさず更新しましょう。"Log4J2を使ってる人"は。

— A-pZ｜ぢつにんさん (@alpha_pz) Dec 10, 2021