这是一个客户端和服务器上的Fabric 和 Forge 模组,用于修复 2021 年 12 月 10 日出现的 Apache Log4j 远程代码执行漏洞 在某些情况下可能导致游戏崩溃、停止或远程代码执行。
如果可以,请将模组加载器更新到以下版本,而不是使用此模组:
- Fabric Loader 0.12.12+ 适用于所有版本
- Forge 1.18.1-39.0.0+ 适用于我的世界1.18.1
- Forge 1.18-38.0.17+ 适用于我的世界1.18
- Forge 1.17.1-37.1.1+ 适用于我的世界1.17.1
- Forge 1.16.5-36.2.20+ 适用于我的世界1.16.5
- Forge 1.15.2-31.2.56+ 适用于我的世界1.15.2
- Forge 1.14.4-28.2.25+ 适用于我的世界1.14.4
- Forge 1.13.2-25.0.222+ 适用于我的世界1.13.2
- Forge 1.12.2-14.23.5.2857+ 适用于我的世界1.12.2
如果您想玩以上列表中没有的并且是1.7以上的我的世界版本,或者您想使用与以上模组加载器版本不兼容的模组,安装本模组是一个不错的选择。
这个模组通过删除一个问题很大的日志内容远程查找功能来工作,否则不会使用该功能。如果任何人都可以发送恶意聊天或断开连接消息,请使用错误帧数据包或其他形式的活动,这些活动涉及生成用户控制的日志输出来利用该漏洞。由于客户端和服务器都记录日志,因此它们同样面临风险。
我的世界官方启动器、CurseForge启动器和Fabric模组加载器在他们的程序中解决了这个问题,但在撰写本文时,服务器和一些旧版本仍然存在漏洞。
目前已修复的客户端与服务端,因此不需要该 mod:
- 原版客户端
- 装载了Fabric模组加载器的客户端或服务器(Fabric Loader 0.12.12+)
- 装载了Forge 1.12+模组加载器客户端和服务器
- 1.18.1-rc3以上的客户端和服务器
- 手动禁用Log4j任何客户端和服务器
目前可能存在漏洞的服务器与客户端,因此需要该 mod:
- 早于 1.18.1-rc3 的未禁用Log4j的原版服务器
- 过时的 Fabric 或 Forge 服务器
- 过时的 Fabric 或 Forge 客户端
- 早于 1.12.x的Forge模组加载器客户端或服务器
与该模组不兼容:
- 使用 Java/JVM 参数 -Dlog4j2.formatMsgNoLookups=true (仅适用于 1.17+ !)
- 使用0.12.10+ 的 Fabric模组加载器,因为它带有类似的修复,请使用 Fabric 模组加载器 0.12.12 而不是这个 mod
即使在上述不兼容之外没有必要,使用该模组也不应该有任何危害。它在启动时执行一个小的一次性操作,以删除多余但可利用的 JNDI 查找机制。
作者无法保证该模组一定会修复漏洞,但它在基本层面上起作用。它不会阻止利用消息遍历服务器到其他客户端。