【悲報】Javaのライブラリ「log4j2」に外部からコマンド実行可能な脆弱性が発見され阿鼻叫喚 原因や対処方法

『バニラ、Spigot、Paperなど全Minecraftサーバーでログインに関するライブラリ「log4j2」に任意のリモートコードを実行される重大な脆弱性が発見されました』とのツイートが話題になっています

【重要】12月10日日バニラ、Spigot、Paperなど全Minecraftサーバーでログインに関するライブラリ「log4j2」に任意のリモートコードを実行される重大な脆弱性が発見されました。既に攻撃が始まっているとのことですので、管理者は今すぐサーバーを止め、最新バージョンにして

統合版Minecraftにて今年の Minecraft LIVEで発表された「スカルクシュリーカー」と「ウォーデン」が開発中とのことです。

Spigot、Paper、Fabric Loaderをご利用の方は最新バージョンに更新してください。
バニラサーバーをご利用の方は弥縫策としてJavaのサーバーの起動オプションに「-Dlog4j2.formatMsgNoLookups=true」を追加してください。
必ず最新バージョンを随時確認して下さい。

訂正:「log4j2」はログインではなく、ロギングのためのライブラリです。いずれにせよ対策を早急に行ってください。

サーバーが対策を行ったことを確認確認できない場合は絶対にどんなサーバーも参加しないでください。バージョン1.8〜1.18まで該当します。また、少なくとも1.12.2では「formatMsgNoLookups」フラグでは治らないことが確認されたとのことです。


公式Minecraftより、修正バージョンがリリースされました。サーバーがまだ動いている方は今すぐ停止させ、最新バージョンのクライアントとサーバーを使用するようにしてください。

最新バージョン以外でも、Minecraftを再起動すれば修正バージョンがインストールされるようになっているようです。
しかし、バージョン1.12以降のようですので、バージョン1.8〜1.12をご利用の方は今すぐに利用を停止することが推奨されています。

引用元

twitter.com/slicedlime/sta…2021/12/10 13:16:58 9 19

SaziumR
@SaziumR +

Minecraft 1.18.1リリース候補版3がリリースされました。
大変重大なセキュリティ問題が修正されています。必ずこちらのバージョンを使用するようにお願いします。 twitter.com/slicedlime/sta…2021/12/10 13:19:10 27 54

【Minecraft・重要・拡散希望】
Minecraft 1.8〜1.18をご利用の方全員にお知らせ致します。
Minecraftに大変重大な脆弱性が発見されました。攻撃は始まっています。今のところ、どんなサーバーも参加しないでください。サーバーは停止させてください。必ず安全を確認してから復帰してください。

使用バージョンは関係なく、ランチャーを再起動すれば、修正バージョンが自動的にインストールされるようになっています。ランチャーとゲームを両方再起動するように行ってください。

twitter.com/slicedlime/sta…2021/12/10 13:28:32 9 16

Java版のみです。
なお、Minecraft公式バージョンは修正バージョンがリリースされております。ランチャーを再起動すれば自動的にインストールされるようになっています。MODの対応が確認できないため OptiFineなどの利用もやめてください。念のため、修正バージョンでもサーバーに入らないでください。

サーバーの管理者は前述のJVMオプションの「-Dlog4j2.formatMsgNoLookups=true」フラグで弥縫策になることが開発者より確認されました。バージョン1.18.1まではこちらでしのいでください。
twitter.com/slicedlime/sta…2021/12/10 13:47:04 8 7

バージョン1.17以降でのみ公式の修正バージョンが現在リリースされているようです。改造されたバージョンには適用できていない可能性があるため、使用を控えてください。
twitter.com/slicedlime/sta… twitter.com/slicedlime/sta…2021/12/10 13:49:24 1 5

takatronix
@takatronix +

これでサーバー側(1.17)は問題なかったの確認できたけど、、うちのプレイヤー側すべてにこれをお願いするのは不可能と判断。
アップデートを待つしかないかなって思ってます。 twitter.com/SaziumR/status…2021/12/10 12:49:08 1 3

わかめそば
@wakamesoba98 +

log4j2の脆弱性RCEかよヤバいな2021/12/10 14:05:15 0 2

Face McShooty
@RustCommonsWest +

log4j2の脆弱性
JMSAppenderを使っている場合1にも影響2021/12/10 14:03:54 0 0

Yamamoto@健康が1番
@yamamoto_febc +

わぁいlog4j2じゃないlog4j(以下自粛

さまざまなプロジェクトで広く使われているJava製のログ出力ライブラリ「Apache Log4j」にリモートコード実行(RCE)のゼロデイ脆弱性が存在することが明らかになり、波紋が広がっています。

出典:マイクラもハッキング ~「Apache Log4j」ライブラリに致命的なリモートコード実行のゼロデイ脆弱性 – やじうまの杜 – 窓の杜

悪用は極めて容易で、一般ユーザーに身近なところでは「Minecraft」にも影響が出ているとのことで、サーバーを一時閉鎖したり、一斉アップデートする騒ぎにまで発展しています。

出典:マイクラもハッキング ~「Apache Log4j」ライブラリに致命的なリモートコード実行のゼロデイ脆弱性 – やじうまの杜 – 窓の杜

窓の杜@madonomori

マイクラもハッキング ~「Apache Log4j」ライブラリに致命的なリモートコード実行のゼロデイ脆弱性/かなり広範囲に影響か。一刻も早い対策が望まれる【やじうまの杜】 t.co/lUUfGMhVIp

2021.12.10 14:23:51

反応まとめ

takatronix@takatronix

現在ハッキング可能性検証してるけど、ワロタww

チャットだけ対策してもだめで、
武器の名前に、悪意のあるコードを入れる->殺される->死亡ログ->log4j -> 実行 https://t.co/y3o8hN5tVc

2021.12.10 10:58:16

Rui Ueyama@rui314

log4jのセキュリティバグ、すごいな。任意コード実行というけど、ほんとに任意コード実行じゃん(インターネットから簡単に任意のJavaクラスファイルをロードして実行させられる)。

2021.12.10 13:03:12

hiro_@papa_anniekey

log4jにRCEの脆弱性です。
Githubのやり取り見ていて、なんでこんな機能あるんだろうという素人の感想です。なんにしろこれはまずい
https://t.co/XFd8fsDZZJ

2021.12.10 12:02:01

没個性@_shouth_kit

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です