개인 자료란 (JE)

  서버 커뮤니티

Profile 마리오군 한마포 명예에디터

Mariogoon 6af4b154a2a44198b5f6ee94fea77528

Profile

뉴스 소식

마인크래프트: 자바 에디션에서 심각한 보안 취약점 발견

2021.12.13 조회 수 1022 추천 수 5
플랫폼 자바 에디션 (JE) 

블로그 / 텔레그램 채널

4a2dd3041a6a853b29901e279a7158f8.png

무슨 일이 일어나고 있나요?

최근 자바 로깅 라이브러리인 Log4j 내부에서 익스플로잇 형태의 보안 취약점이 발견되었습니다. 이러한 취약점은 마인크래프트: 자바 에디션에서 발생할 수 있으며, 다른 자바를 이용하는 많은 서비스에도 영향을 끼칠 수 있습니다.

이에 따라 마인크래프트: 자바 에디션을 이용하고 있는 사용자나 서버를 돌리고 있는 운영자는 빨리 보안 취약점에 대해 대응해야할 필요가 있습니다.





참고: log4j 취약점을 구현한 모습. 영상: 레몬카라멜(한국 마인크래프트 포럼)

왜 바꿔야하나요?

이 취약점은 위 영상처럼 간단한 명령어 하나만으로 IP를 통해 프로그램을 직접 실행시킬 수 있습니다. 즉, 해커가 명령어 하나만으로 서버 컴퓨터나 게임을 실행중인 플레이어의 컴퓨터에서 IP를 거쳐 악성코드를 심어버릴 수 있는 큰 피해를 입을 수 있습니다.


어떻게 해야하나요?

공식 클라이언트

실행중인 마인크래프트: 자바 에디션(Minecraft: Java Edition) 게임과 마인크래프트 런처(Minecraft Launcher)를 모두 닫은 후 마인크래프트 런처를 다시 실행합니다. 그러면 패치된 버전이 자동으로 업데이트됩니다.

수정된 클라이언트, 제삼자 런처

여기서 수정된 클라이언트는 마인크래프트 홈페이지에서 제공하는 바닐라(순정 버전)에서 타사 모드 등이 설치된 버전을 말하며, 제삼자 런처는 마인크래프트 홈페이지에서 제공하는 공식 런처가 아닌 타사가 만든 마인크래프트 런처를 말합니다. 플레이하려면 여전히 마인크래프트 계정이 요구됩니다.

수정된 클라이언트와 제삼자 런처는 모장 스튜디오 측에서 공식적으로 제공하는 것이 아니기 때문에 자동으로 업데이트 되지 않을 수 있습니다. 이 경우 수정된 클라이언트나 제삼자 런처를 만들고 배포한 곳에서 패치가 적용된 버전이 있는지 확인해야할 필요가 있습니다. 늘 그렇듯이, 공식적으로 제공하는 것이 아닌 수정된 클라이언트나 제삼자 런처를 사용중인 경우 사용자의 위험을 감수해야할 필요가 있습니다.

서버

마인크래프트: 자바 에디션을 본인 컴퓨터로 직접 운영중이거나 호스팅을 사용하는 경우, 다음 단계를 따라야합니다.

  • 타사 제공 서버: PaperMC나 Spigot과 같은 타사에서 제공하는 마인크래프트: 자바 에디션 서버는 이러한 보안 취약점을 대응한 패치 버전을 제공하고 있을 수 있습니다. 이 경우, 패치 내역에 Log4j 관련 패치 내역이 포함되어 있는지 꼭 확인하시기 바랍니다.  그렇지 않을 경우 아래 방법을 시도해보시기 바랍니다.
  • 1.18: 가능하면 1.18.1로 업그레이드 하세요. 원하지 않을 경우 1.17.x와 같은 방식으로 진행합니다.
  • 1.17.x: 시작 명령줄에 다음 예문처럼 -jar 앞에 JVM 인수를 추가합니다: -Dlog4j2.formatMsgNoLookups=true
    • 윈도우(Windows): 확장자를 .bat로 저장
      java -Xmx1024M -Xms1024M -Dlog4j2.formatMsgNoLookups=true -jar 서버이름.jar -o true
      PAUSE
    • 맥(Mac OS): 확장자를 .command로 저장
      #!/bin/bash
      cd "$( dirname "$0" )"
      java -Xms1024M -Xmx1024M -Dlog4j2.formatMsgNoLookups=true -jar 서버이름.exe -o true
    • 리눅스(Linux) 계열: 확장자를 .sh로 저장
      #!/bin/sh
       BINDIR=$(dirname "$(readlink -fn "$0")")
       cd "$BINDIR"
       java -Xms1024M -Xmx1024M -Dlog4j2.formatMsgNoLookups=true -jar 서버이름.jar -o true
  • 1.7~1.16.5: 파일을 서버가 있는 경로로 내려받은 후 위 예문처럼 -jar 앞에 JVM 인수를 추가합니다(-Dlog4j2.formatMsgNoLookups=true대신 다른 인수로 대체).
    • 1.12~1.16.5: 이 파일 을 서버가 있는 경로로 내려받은 후 -Dlog4j.configurationFile=log4j2_112-116.xml 인수 추가
    • 1.7~1.11.2: 이 파일 을 서버가 있는 경로로 내려받은 후 -Dlog4j.configurationFile=log4j2_17-111.xml 인수 추가
    • 위 방법에서 파일 이름도 바꾸고자 할 경우 .xml 파일 이름이 추가하고자 하는 명령줄과 동일해야 합니다(예: -Dlog4j.configurationFile=파일이름.xml).
  • 1.7 이전 버전은 영향을 받지 않습니다.




출처 및 참고

https://www.minecraft.net/ko-kr/article/important-message--security-vulnerability-java-edition


바로가기

⚠️ 마인크래프트 계정 이동에 관한 내용은 여기를 참조하세요! ⚠️


동굴과 절벽 업데이트 내용은 여기를 참조하세요!


1.18의 마이너 업데이트 내용은 여기를 참조하세요!


마인크래프트 관련





2개의 댓글

뚱이12
2021.12.17

다시시작 이라는게 단순이 런처 껏다 키는 건가요?

뉴스 및 창작물
/files/thumbnails/761/908/003/262x150.crop.jpg?20241025153749

건축

서울 숭례문(崇禮門) 4

KHC

2024-10-25

2

/files/thumbnails/578/899/003/262x150.crop.jpg?20241010142350

건축

경주 월정교 1

KHC

2024-10-10

2

/files/thumbnails/219/899/003/262x150.crop.jpg?20241009200950

건축

송전탑+도시 2

dbasd12

2024-10-09

2

/files/thumbnails/246/898/003/262x150.crop.jpg?20241008102328

레드스톤

단다단 - 오토노케(オトノケ) | 마인크래프트 노트블럭 커버

노트블럭전문가

2024-10-08

1

/files/thumbnails/348/896/003/262x150.crop.jpg?20241006103035

디도스/봇테러등등을 낚는 방법 4

물귀신

2024-10-06

3

/files/thumbnails/839/895/003/262x150.crop.jpg?20241006021227

SRV레코드는 보안도메인이 아닙니다. [서버오픈시 필독]

물귀신

2024-10-05

4