概述

这是一个客户端和服务器上的 Fabric 和 Forge 模组，用于修复 2021 年 12 月 10 日出现的 Apache Log4j 远程代码执行漏洞 在某些情况下可能导致游戏崩溃、停止或远程代码执行。

如果可以，请将模组加载器更新到以下版本，而不是使用此模组：

• Fabric Loader 0.12.12+ 适用于所有 Fabric 版本；

• Forge 1.18.1-39.0.0+ 适用于我的世界 1.18.1；

• Forge 1.18-38.0.17+ 适用于我的世界 1.18；

• Forge 1.17.1-37.1.1+ 适用于我的世界 1.17.1；

• Forge 1.16.5-36.2.20+ 适用于我的世界 1.16.5；

• Forge 1.15.2-31.2.56+ 适用于我的世界 1.15.2；

• Forge 1.14.4-28.2.25+ 适用于我的世界 1.14.4；

• Forge 1.13.2-25.0.222+ 适用于我的世界 1.13.2；

• Forge 1.12.2-14.23.5.2857+ 适用于我的世界 1.12.2。

如果您想玩以上列表中没有的，并且是 1.7 以上的 MC 版本；或者您想使用与以上模组加载器版本不兼容的模组，安装本模组是一个不错的选择。

这个模组通过删除一个问题很大的日志内容远程查找功能来工作，否则不会使用该功能。如果任何人都可以发送恶意聊天或断开连接消息，请使用错误帧数据包或其他形式的活动，这些活动涉及生成用户控制的日志输出来利用该漏洞。由于客户端和服务器都记录日志，因此它们同样面临风险。

我的世界官方启动器、CurseForge 启动器和 Fabric 模组加载器在他们的程序中解决了这个问题，但在撰写本文时，服务器和一些旧版本仍然存在漏洞。

目前已修复的客户端与服务端，因此不需要该 Mod：

• 最新原版客户端；

• 装载了最新 Fabric 模组加载器的客户端或服务器（Fabric Loader 0.12.12+）；

• 装载了最新 Forge 1.12.2 模组加载器的客户端和服务器；

• 1.18.1-rc3 以上的客户端和服务器；

• 手动禁用 Log4j 的任何客户端和服务器。

目前可能存在漏洞的服务器与客户端，因此需要该 mod：

• 早于 1.18.1-rc3 的未禁用 Log4j 的原版服务器；

• 过时的 Fabric 或 Forge 服务器；

• 过时的 Fabric 或 Forge 客户端；

• 早于 1.12.x 的 Forge 模组加载器客户端或服务器。

以下行为与该模组不兼容：

• 使用 Forge 1.17+ 及 Java/JVM 参数 -Dlog4j2.formatMsgNoLookups=true （仅适用于 1.17+ ！）

• 使用 0.12.10+ 的 Fabric 模组加载器，因为它带有类似的修复，请使用 Fabric 模组加载器 0.12.12 而不是这个 Mod。

即使在上述不兼容之外没有必要，使用该模组也不应该有任何危害。它在启动时执行一个小的一次性操作，以删除多余但可利用的 JNDI 查找机制。

作者无法保证该模组一定会修复漏洞，但它在基本层面上起作用。它不会阻止利用消息遍历服务器到其他客户端。