《我的世界》Java 版已修復(fù) Log4j 高危漏洞：允許通過聊天框發(fā)起攻擊，請盡快更新

IT之家 12 月 13 日消息，最近的 Log4j 漏洞想必大家都知道了，11 月 9 日晚，開源項目 Apache Log4j 2 的一個遠程代碼執(zhí)行漏洞的利用細節(jié)被公開，隨后該漏洞被迅速公開。

《我的世界》Java 版成為受其危害嚴重的游戲之一，該漏洞允許惡意方通過將消息粘貼到游戲內(nèi)聊天框來遠程執(zhí)行 Minecraft 服務(wù)器上的代碼。Mojang 已發(fā)布緊急更新，要求玩家盡快更新到最新版本。

IT之家了解到，除了更新客戶端，Mojang 表示仍需要一些步驟：

官方游戲客戶端

如果你玩的是《我的世界》Java 版，但沒有托管自己的服務(wù)器，需要執(zhí)行以下步驟：

關(guān)閉游戲和 Minecraft Launcher 的所有正在運行的實例。再次啟動啟動器 —— 補丁版本將自動下載。

修改后的客戶端和第三方啟動器

修改后的客戶端和第三方啟動器可能不會自動更新。在這些情況下，Mojang 建議玩家遵循第三方提供商的建議。如果第三方供應(yīng)商沒有修補漏洞，或者沒有聲明可以安全地游玩，你應(yīng)該假設(shè)漏洞沒有修復(fù)并且在玩游戲時有風險。

自建服務(wù)器

如果你托管自己的《我的世界》Java 版服務(wù)器，則需要根據(jù)使用的版本采取不同的步驟，以確保其安全：

• 1.18：如果可以的話，升級到 1.18.1 版本。如果沒有，請使用與 1.17.x 相同的方法。

• 1.17：將以下 JVM 參數(shù)添加到啟動命令行：

-Dlog4j2.formatMsgNoLookups=true

• 1.12-1.16.5：將此文件下載到服務(wù)器運行的工作目錄。然后將以下 JVM 參數(shù)添加到啟動命令行：

-Dlog4j.configurationFile=log4j2_112-116.xml

• 1.7-1.11.2：將此文件下載到服務(wù)器運行的工作目錄。然后將以下 JVM 參數(shù)添加到啟動命令行：

-Dlog4j.configurationFile=log4j2_17-111.xml

• 低于 1.7 的版本不受影響

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。