本帖最后由 电量量 于 2021-12-11 07:29 编辑

---

Hello everyone! Earlier today, we identified a vulnerability in the form of an exploit within Log4j – a common Java logging library. This exploit affects many services – including Minecraft Java Edition.
各位好！今日早些时候，我们识别到在 Log4j——一个常用的 Java 日志库中存在重大安全漏洞。此漏洞波及到了许多服务——包括 Minecraft Java 版。

This vulnerability poses a potential risk of your computer being compromised, and while this exploit has been addressed with all versions of the game client patched, you still need to take the following steps to secure your game and your servers.
此漏洞使你的电脑有机会被损害。我们已经发布紧急更新，在所有受影响的游戏版本中封堵了此漏洞，你仍然需要通过以下几步来保护你的游戏和服务器。

What you need to do
你需要做什么


Official game client
官方游戏客户端

If you play Minecraft: Java Edition, but aren’t hosting your own server, you will need to take the following steps: Close all running instances of the game and the Minecraft Launcher. Start the Launcher again – the patched version will download automatically.
若你游玩 Minecraft：Java 版，但没有自己的服务器，你需要进行以下步骤：关闭所有正在运行的游戏实例和官方启动器。然后重启启动器，已修复的版本会自动下载。


Modified clients and third-party launchers
Mod 客户端和第三方启动器

Modified clients and third-party launchers might not be automatically updated. In these cases, we recommend following the advice of your third-party provider. If the third-party provider has not patched the vulnerability, or has not stated it is safe to play, you should assume the vulnerability is not fixed and you are at risk by playing.
Mod 客户端和第三方启动器可能没有实施修补。因此，我们建议你遵循你的第三方提供商的意见。如果第三方提供商尚未修补此漏洞，或仍未声明游戏可以安全游玩，你应该假设漏洞还没有被修复，游玩游戏存在很大风险。


Game Server
服务端

If you’re hosting your own Minecraft: Java Edition server, you'll need to take different steps depending on which version you’re using, in order to secure it.
如果你有自己的 Java 版服务器，你需要根据你的游戏版本进行不同的步骤，以保护你的电脑。

• 1.18: Upgrade to 1.18.1, if possible. If not, use the same approach as for 1.17.x:
• 1.18：升级到 1.18.1。如果这不可能，按照 1.17 的方法进行修补
• 1.17: Add the following JVM arguments to your startup command line:
  -Dlog4j2.formatMsgNoLookups=true
• 1.17：在你的启动脚本中加入如下 JVM 参数：
  -Dlog4j2.formatMsgNoLookups=true
• 1.12-1.16.5: Download this file to the working directory where your server runs. Then add the following JVM arguments to your startup command line:
  -Dlog4j.configurationFile=log4j2_112-116.xml
• 1.12-1.16.5：下载 此文件 到你的服务器的工作路径。然后在你的启动脚本中加入如下 JVM 参数：
  -Dlog4j.configurationFile=log4j2_112-116.xml
• 1.7-1.11.2: Download this file to the working directory where your server runs. Then add the following JVM arguments to yourstartup command line:
  -Dlog4j.configurationFile=log4j2_17-111.xml
• 1.7-1.11.2：下载 此文件 到你的服务器的工作路径。然后在你的启动脚本中加入如下 JVM 参数：
  -Dlog4j.configurationFile=log4j2_17-111.xml
• Versions below 1.7 are not affected
• 1.7 以下的版本不受影响
  

We’ll post any additional information on our social media channels, so keep an eye out! Thank you!
若有任何更多消息，我们将会在社交媒体上发布，同时我们也会在 MCBBS 幻翼块讯板块持续跟进官方消息，请务必持续关注！感谢您的理解和配合！




【电量量 译自官网 2021 年 12 月 10 日发布的 Important Message: Security vulnerability in Java Edition；原作者 Staff】
【本文排版借助了：SPXX】

---

所以......真是只要重启启动器和游戏就好了？其他东西不用管？

重启启动器会检查更新，下载最新版本，游戏也是

本帖最后由 时空寻觅者 于 2021-12-10 23:32 编辑

那如果是之前下载的其他的optifine或者forge端此类会不会受影响？

好吧，还是得等作者更新的

PCL2最新版已经紧急修复了，可以用

下载 此文件 你

官方启动器会自动更新吗？他不是说还需要自己添加参数嘛

官方的修复原理是通过设置 Log4j2 的配置文件，关闭出现问题的那个模块，来解决这个漏洞。这个配置文件的下载地址是包含在 json 文件中的。

通常来说，forge 和 optifine 会通过 inheritsFrom 继承对于原版的 json。
也就是运行一次对应的原版，之后 forge 什么的也就同样受到了修复。

简单的通过在聊天栏里输入 ${jndi:ldap://www.mcbbs.net}  就行，卡了就有问题，没卡就没问题。

实际上，我现在更关心JavaWeb开发领域的情况是啥样。
据说为了修这个bug，有些程序员被大半夜叫起来修bug了.jpg

祝该bug早日修复，不管是Minecraft还是JavaWeb开发领域。

笑死，我最近还在研究怎么把SpringBoot自带的ch.qos.logback换成log4j2

官方启动器真的只要重启就行了吗
我重启了，也的确安装了一些更新，但是打开“关于”以看，启动器下面的信息是“Windows 10.0 2.2.8116 星期五 2021年12月3日”，点击旁边查看更新了什么，写的是12月7日，版本2.2.8116，下面的更新内容根本没提到Log4j
是不是我这边启动器有问题？

没问题，这次修补和启动器版本无关，如果你重启启动器再打开游戏，启动器会自动下载修补过的版本

确实是对 web 冲击更大，毕竟无数应用全部都有这个依赖

大大您好，我是用的pcl启动器已经更新到了最新版，在聊天栏里输入那个命令，游戏直接崩溃了，崩溃报告在这里https://paste.ubuntu.com/p/5f8yGm3kD2/，请问这证明是修复好了吗？我的游戏版本是1.7.10

太棒了，我在1.12.2服务器上试了一下，完美修复

虽然1.7以下不受影响，但是这年头谁还用1。7以下开服啊（汗）

这说明你的游戏还没有修复，请咨询 PCL 作者

1.7以下。。
真的有人会用远古版本开服吗

OK明白了
谢谢大大！

本帖最后由 heni 于 2021-12-11 11:28 编辑

请问1.12那个xml链接打开后怎么下载？

哈哈哈哈   说不定人家喜欢呢

目前官启，PCL2，BakaXL最新版和HMCL最新开发版已紧急修复该漏洞，应该可以用（1.7到1.11再等等）

据说fabric 0.12.9也修复了这个漏洞，不更新到1.18.1也行。

右键另存为

其实1.6.4还是不少的

这个bug现在还有威胁吗（捂脸
害怕.jpg

矿狗是真的狗

MCBBS有你更精彩~

1.7.10 的 forge 端看上去是无法通过这个方法修复的，而且似乎都不是 Log4j2 的漏洞所引发的。
不过，1.12.2 的 forge 端是可以这样修复。

当然问题不是很大，可以安装站内的修复 mod 来解决，而且对于新版本的 java 来说，仅仅只是会导致游戏崩溃而已。

https://www.mcbbs.net/thread-1283228-1-1.html
拖入mods文件夹即可保护你的客户端（1.12.2/1.16.5）

还有个问题，这个漏洞只会影响客户端，不会影响到mod之类的吗？

我更好奇这种诡异的BUG是怎么被发现的.....还是说这是特性??

阿里云安全团队
https://help.aliyun.com/noticelist/articleid/1060971232.html

我玩的服务器都停了

很可怕的样子

这……什么时候出现这么个大意外

1.7.10U端服务器,使用xml后,后台除了读取了玩家的MOD信息,其他信息没有显示了,正常吗

问一下，所以现在只要重启官启，原版所有版本都可以安全玩了？服务器也可以玩吗？
还有就是，fabric是不是更新到0.12.9也可以放心玩？

国内有谁试过这个漏洞吗？可以的话能出个视频看一下其危害

hmcl貌似还没有动静

跑在nginx背后的tomcat也是袭击对象之一，连偏远地区机房的都看到攻击者了……

111111111111111111111111

喵叔制作了1.17版本以下的拦截插件
https://www.mcbbs.net/forum.php?mod=viewthread&tid=1283178
1.17及以上可以通过添加启动参数 -Dlog4j2.formatMsgNoLookups=true 解决

话说forge昨晚几乎所有的老版本也发布更新了， 最新的forge把我1.12.2服务端的log4j更新到2.15.0了，那是不是就不需要进行帖子里这些操作了呀

本帖最后由 斯乌 于 2021-12-12 10:27 编辑

不对啊，更新了pcl或者安装修复漏洞的mod之后进游戏输入这个还是会卡一下

edit：部分客户端还是会卡一下，我不知道是不是和一些mod有关系

官方启动器内网穿透联机会有影响吗

如果是正确的添加了 -Dlog4j.configurationFile 参数的话，无论是 forge 还是 fabric 或者别的什么都是不会卡的。

这个参数是启动器自行从 json 中解析出来，并添加上的。对于第三方启动器安装的 forge，可能需要重新安装一次才能受到修复。当然具体还得看启动器是怎么实现的。

MCBBS有你更精彩~

修的好快。。

https://launcher.mojang.com/v1/o ... /log4j2_112-116.xml   ,是要下载吗？

然后呢？