Исправление уязвимости безопасности CVE-2021-44228 (также известной как Log4Shell) для Minecraft Forge 1.7.10 - 1.12.2, путем удаления JNDI lookup из Interpolator с использованием reflection и замены стандартного LoggerContextFactory для перехвата любого LoggerContext, загруженного после этого мода. Для более подробных технических объяснений о том, как было применено исправление, обратитесь к исходному коду.
В настоящее время работает только для Minecraft 1.12 и ранее. Протестировано на 1.7.10 и 1.12.2.
Совместимость
Если какой-либо мод пытается программно изменить конфигурацию логирования, он потерпит неудачу из-за исчерпывающего исправления. Чтобы устранить это, healer откладывает применение исправления достаточно поздно, пока указанные моды не завершат свои изменения.
На текущий момент, healer имеет встроенную поддержку следующих модов.
- ForgeEssentials
Если у вас есть другие моды, которые вызывают сбой с сообщениями в логе, такими как ClassCastException: cannot cast XXXXXXXX to org.apache.logging.log4j.core.impl.Log4jContextFactory, значит, вы столкнулись с одним из этих модов.
Чтобы устранить это, сообщите в трекере проблем, или добавьте -Dnet.glease.healer.patch_stage=XXXX к аргументам запуска JVM, где XXXX может быть одним из PRELOAD, PREINIT, INIT, POSTINIT (в порядке времени, с самым ранним первым). PREINIT обычно достаточно для смягчения проблемы, POSTINIT должно быть достаточно для устранения всех проблем.
Для обычных игроков
- Если ваш лаунчер уже применил это исправление, вам не понадобится этот мод для устранения уязвимости.
- Если вы применили исправление от Mojang, вам не понадобится этот мод для устранения уязвимости.
- Если у вас установлен FoamFix для 1.7, вам не понадобится этот мод для устранения уязвимости.
- Если вы использовали другие исправляющие моды, спросите их оригинальных авторов, могут ли они "перехватывать любой LoggerContext, загруженный после их мода". Если да, вам не понадобится этот мод. В противном случае, замените тот мод на этот или используйте лаунчер, который применяет исправления за вас.
Для создателей модпаков
Рекомендуется включать как минимум в серверный пакет.
Клиентская сторона: в целом не требуется, если только ваш игрок не жил под камнем или не намерен играть с взломанными лаунчерами (что имеет свои последствия и юридически запрещено), которые не применяют это исправление. Ведь прошел УЖЕ ЦЕЛЫЙ ГОД с момента раскрытия log4shell.
Серверная сторона: настоятельно рекомендуется, если у вас нет эквивалентного мода. Если вы также распространяете серверный пакет, и он предназначен для Minecraft 1.7~1.12.2, добавление этого мода не обязательно, если вы применили исправление от Mojang. Однако, поскольку многие люди не используют StartServer.bat (или аналогичный скрипт), который поставляется с вашим серверным пакетом, вероятно, они не будут использовать исправленный log4j2.xml от Mojang. Также существуют услуги аренды серверов Minecraft, которые не позволяют настраивать команду запуска (да, мой первый сервер был таким). Технически, вы не должны распространять измененный minecraft_server-1.7.10.jar, поэтому добавление этого jar-файла будет наиболее прямым способом обеспечить, чтобы владельцы серверов получили исправление.
