Java版「Minecraft」にセキュリティ更新、極めて危険な「Log4j」脆弱性に対処

最新版にアップグレードできない場合の対策も案内

Mojangの公式Twitterアカウント

 米Microsoft傘下のMojangは12月10日(現地時間)、「Minecraft: Java Edition」の最新版v1.18.1を公開した。ロギングライブラリ「Apache Log4j」で発見された任意コード実行の脆弱性(CVE-2021-44228)に対処したセキュリティアップデートとなっており、早急なアップデートが必要だ。

Java版「Minecraft」にセキュリティ更新、極めて危険な「Log4j」脆弱性に対処

 「CVE-2021-44228」(通称:Log4Shell)は、特定のリクエストを送出するだけでリモートから任意のコードを実行可能になる極めて致命的な脆弱性だ。「CVSS 3.0」の基本値は、最高の「10.0」。「Minecraft」以外にも、「Log4j」を採用するJava製のソリューション(アプリ、ゲーム、クラウドサービスなど)に広く影響する。

 「Minecraft: Java Edition」をプレイしていて、自分のサーバーをホストしていない場合は、ゲームと「Minecraft Launcher」を一旦すべて終了させ、再度「Minecraft Launcher」を起動するとパッチが自動で適用される。

 ただし、改造されたクライアントやサードパーティ製のランチャーは自動的にアップデートされない場合がある。その場合は、開発元のガイダンスに従うこと。未修整のまま使い続けた場合は、ユーザーがリスクを負うことになる。

 自分で「Minecraft: Java Edition」のサーバーをホストしている場合は、以下の対策が推奨されている。

 1.16.5以前の古いバージョンを使っている場合は、公式ブログで提供されているXML形式の設定ファイルをダウンロードし、サーバーのワーキングディレクトリに配置して起動時に読み込ませる必要がある。また、1.7未満のバージョンは脆弱性の影響を受けないとのこと。

タグ: