Apache Log4j の脆弱性は、Minecraft: Java Edition、Amazon、Twitter などに影響を与える可能性があります。Java Edition、Amazon、Twitterなどに影響を与える可能性がありますが、軽減することができます。
Apache Log4jの脆弱性は、Minecraft: Java Edition、Steam、Twitterなど、多くのオンラインアプリケーションに影響を与える可能性があります。Java Edition、Steam、Twitterなど、多くのオンラインアプリケーションに影響を与える可能性があります。
この脆弱性は、CVE-2021-44228と呼ばれ、(Red Hat)では深刻度9.8とされていますが、まだ新しいため、NVDによる分析が待たれています。このプログラムは、広く利用されているApache Log4jというJavaベースのロギングライブラリに含まれており、危険なのは、ログメッセージを利用することで、ユーザーがサーバー上でコードを実行し、適切なアクセスや権限がなくても完全に制御できるようになる点です。
問題は、ログメッセージやログメッセージのパラメータを制御できる攻撃者が、メッセージの検索置換が有効な場合、LDAPサーバーからロードされた任意のコードを実行できることです。
この問題はMinecraftに影響を与える可能性があります。Java Edition、Tencent、Apple、Twitter、Amazon、その他多くのオンラインサービスプロバイダに影響を与える可能性があります。というのも、Javaはユーザーにとってはもうそれほど一般的ではありませんが、企業のアプリケーションではまだ広く使われているからです。幸いなことに、Valve社によると、Steamはこの問題による影響を受けていないとのことです。
Valve社の担当者は、PC Gamerの取材に対し、「log4jを使用しているサービスをすぐに見直し、ネットワーク・セキュリティ・ルールによって信頼できないコードのダウンロードや実行がブロックされていることを確認しました」と述べています。”この脆弱性に関連したSteamへのリスクはないと考えています。”
修正方法については、ありがたいことにいくつかの選択肢があります。この問題は、log4jのバージョンが2.0から2.14.1の間のものであると報告されています。Apache Log4jセキュリティ脆弱性のページで説明されているように、Apache Log4jバージョン2.15にアップグレードすることが、この問題を軽減するための最善の方法です。ただし、古いバージョンのユーザーは、システムプロパティの「log4j2.fatormedMsgNoLookups」を「true」に設定するか、クラスパスからJndiLookupクラスを削除することでも問題を軽減できる可能性があります。
自分のMinecraft Javaサーバーなど、Apacheを使ったサーバーを運用している場合は、すぐに新しいバージョンにアップグレードするか、古いバージョンに上記のようなパッチを当てて、サーバーが確実に保護されるようにしましょう。同様に、Mojang社はユーザーのゲームクライアントを保護するためのパッチをリリースしており、詳細は(here).
プレイヤーの安全は私たちにとって最優先事項です。残念ながら、本日未明、Minecraft.Java Editionにセキュリティ上の脆弱性があることが判明しました。Java Editionです。
この問題にはパッチが当てられていますが、ゲームクライアントやサーバーを安全に保つために、以下の手順に従ってください。Please RT to amplify.https://t.co/4Ji8nsvpHf
– Minecraft (@Minecraft) December 10, 2021
ーーーーーーーーーーーーーーーーーー
長期的に危惧されるのは、知っている人はこの潜在的に危険な欠陥を緩和するでしょうが、そうしない多くの人が闇に葬られ、長期間にわたって欠陥が放置される可能性があるということです。
CERT NZも含め、多くの人がこの脆弱性がすでに悪用されていると懸念しています。そのため、多くの企業やクラウドのユーザーは、影響を受けないようにできるだけ早くパッチを当てることを急ぐと思われます。
セキュリティ企業のRandoriは、この脆弱性に関する(blog post)で、「悪用のしやすさと適用範囲の広さから、ランサムウェアの実行者はすぐにこの脆弱性を利用し始めると思われる」と述べています。