#12 Log4J2の脆弱性について

#12 Log4J2の脆弱性について

#12 Log4J2の脆弱性について

海
投稿者: ta3 / 更新者: ta3
最終更新 2021-12-19 11:44:40

先日判明したLog4J2の任意コード実行が可能となる脆弱性(CVE-2021-44228)についてRisketでは以下の対応を行なっています。

サーバー側の対策ついて


サーバーソフトウェア


RisketではSpigotのカスタムビルドを使用して開発しております。
このカスタムビルドに対して、Spigot側の最新パッチを適用し、サーバー側のLog4Jを2.15.0にアップデートしました。サーバー側のLog4Jを2.17.0にアップデートしました。またLog4J2によるJNDI Lookupについて、Risketを動作させているサーバーでは無効となっていることが確認されました。


プラグイン


導入されている全プラグインを解析し、今回問題となったLog4J2が含まれていないことを確認しました。また、プラグインの自動更新時にLog4J2がダウンロードされた場合の対策としてRisketでは署名されていないプラグインの読み込みを防ぐ機構を用意しています。



クライアント側の対策について


この脆弱性はクライアント側にも影響を及ぼします。
サーバー側からクライアントに送信される各種文字列について今回の脆弱性の対象となる要素を取り除くようある程度対策を行っていますが、念の為クライアント側での対策をお願いします。
既にMod導入などの改造が行われていないMinecraftについては、この脆弱性に対応するアップデートが適用されていると思われますが、FabricやForge、Lunar Clientなど改造されているMinecraftについてはそれぞれ利用しているModやクライアントの最新バージョンを利用するようにしてください。