Java版「Minecraft」にセキュリティ更新、極めて危険な「Log4j」脆弱性に対処

Mojangの公式Twitterアカウント

　米Microsoft傘下のMojangは12月10日（現地時間）、「Minecraft: Java Edition」の最新版v1.18.1を公開した。ロギングライブラリ「Apache Log4j」で発見された任意コード実行の脆弱性（CVE-2021-44228）に対処したセキュリティアップデートとなっており、早急なアップデートが必要だ。

　「CVE-2021-44228」（通称：Log4Shell）は、特定のリクエストを送出するだけでリモートから任意のコードを実行可能になる極めて致命的な脆弱性だ。「CVSS 3.0」の基本値は、最高の「10.0」。「Minecraft」以外にも、「Log4j」を採用するJava製のソリューション（アプリ、ゲーム、クラウドサービスなど）に広く影響する。

　「Minecraft: Java Edition」をプレイしていて、自分のサーバーをホストしていない場合は、ゲームと「Minecraft Launcher」を一旦すべて終了させ、再度「Minecraft Launcher」を起動するとパッチが自動で適用される。

　ただし、改造されたクライアントやサードパーティ製のランチャーは自動的にアップデートされない場合がある。その場合は、開発元のガイダンスに従うこと。未修整のまま使い続けた場合は、ユーザーがリスクを負うことになる。

　自分で「Minecraft: Java Edition」のサーバーをホストしている場合は、以下の対策が推奨されている。

• 可能であればv1.18.1へアップグレードする
• v1.17のまま使い続ける必要がある場合は、起動オプションに「-Dlog4j2.formatMsgNoLookups=true」を加える

　1.16.5以前の古いバージョンを使っている場合は、公式ブログで提供されているXML形式の設定ファイルをダウンロードし、サーバーのワーキングディレクトリに配置して起動時に読み込ませる必要がある。また、1.7未満のバージョンは脆弱性の影響を受けないとのこと。