마인크래프트: 자바 에디션에서 심각한 보안 취약점 발견
마인크래프트 자바 에디션 소식

마인크래프트: 자바 에디션에서 심각한 보안 취약점 발견

무슨 일이 일어나고 있나요?

최근 자바 로깅 라이브러리인 Log4j 내부에서 익스플로잇 형태의 보안 취약점이 발견되었습니다. 이러한 취약점은 마인크래프트: 자바 에디션에서 발생할 수 있으며, 다른 자바를 이용하는 많은 서비스에도 영향을 끼칠 수 있습니다.

이에 따라 마인크래프트: 자바 에디션을 이용하고 있는 사용자나 서버를 돌리고 있는 운영자는 빨리 보안 취약점에 대해 대응해야할 필요가 있습니다.

 

참고: log4j 취약점을 구현한 모습. 영상: 레몬카라멜(한국 마인크래프트 포럼)

왜 바꿔야하나요?

이 취약점은 위 영상처럼 간단한 명령어 하나만으로 IP를 통해 프로그램을 직접 실행시킬 수 있습니다. 즉, 해커가 명령어 하나만으로 서버 컴퓨터나 게임을 실행중인 플레이어의 컴퓨터에서 IP를 거쳐 악성코드를 심어버릴 수 있는 큰 피해를 입을 수 있습니다. 그렇기 때문에 가급적 빨리 조치를 취하는 것이 좋습니다.

 

728x90

 

어떻게 해야하나요?

공식 클라이언트

실행중인 마인크래프트: 자바 에디션(Minecraft: Java Edition) 게임과 마인크래프트 런처(Minecraft Launcher)를 모두 닫은 후 마인크래프트 런처를 다시 실행합니다. 그러면 패치된 버전이 자동으로 업데이트됩니다.

수정된 클라이언트, 제삼자 런처

여기서 수정된 클라이언트는 마인크래프트 홈페이지에서 제공하는 바닐라(순정 버전)에서 타사 모드 등이 설치된 버전을 말하며, 제삼자 런처는 마인크래프트 홈페이지에서 제공하는 공식 런처가 아닌 타사가 만든 마인크래프트 런처를 말합니다. 플레이하려면 여전히 마인크래프트 계정이 요구됩니다.

수정된 클라이언트와 제삼자 런처는 마인크래프트 홈페이지(모장 스튜디오)에서 공식적으로 제공하는 것이 아니기 때문에 자동으로 업데이트 되지 않을 수 있습니다. 이 경우 수정된 클라이언트나 제삼자 런처를 만들고 배포한 곳에서 패치가 적용된 버전이 있는지 확인해야할 필요가 있습니다. 늘 그렇듯이, 공식적으로 제공하는 것이 아닌 수정된 클라이언트나 제삼자 런처를 사용중인 경우 사용자의 위험을 감수해야할 필요가 있습니다.

서버

마인크래프트: 자바 에디션을 본인 컴퓨터로 직접 운영중이거나 호스팅을 사용하는 경우, 다음 단계를 따라야합니다.

  • 타사 제공 서버: PaperMC나 Spigot과 같은 타사에서 제공하는 마인크래프트: 자바 에디션 서버는 이러한 보안 취약점을 대응한 패치 버전을 제공하고 있을 수 있습니다. 이 경우, 패치 내역에 Log4j 관련 패치 내역이 포함되어 있는지 꼭 확인하시기 바랍니다. 그렇지 않을 경우 아래 방법을 시도해보시기 바랍니다.
  • 1.18: 가능하면 1.18.1로 업그레이드 하세요. 원하지 않을 경우 1.17.x와 같은 방식으로 진행합니다.
  • 1.17.x: 시작 명령줄에 다음 예문처럼 -jar 앞에 JVM 인수를 추가합니다: -Dlog4j2.formatMsgNoLookups=true
    • 윈도우(Windows): 확장자를 .bat로 저장
      java -Xmx1024M -Xms1024M -Dlog4j2.formatMsgNoLookups=true -jar 서버이름.jar -o true
      PAUSE
    • 맥(Mac OS): 확장자를 .command로 저장
      #!/bin/bash
      cd "$( dirname "$0" )"
      java -Xms1024M -Xmx1024M -Dlog4j2.formatMsgNoLookups=true -jar 서버이름.exe -o true
    • 리눅스(Linux) 계열: 확장자를 .sh로 저장
      #!/bin/sh
      BINDIR=$(dirname "$(readlink -fn "$0")")
      cd "$BINDIR"
      java -Xms1024M -Xmx1024M -Dlog4j2.formatMsgNoLookups=true -jar 서버이름.jar -o true
  • 1.7~1.16.5: 파일을 서버가 있는 경로로 내려받은 후 위 예문처럼 -jar 앞에 JVM 인수를 추가합니다(-Dlog4j2.formatMsgNoLookups=true 대신 다른 인수로 대체).
    • 1.12~1.16.5: 이 파일을 서버가 있는 경로로 내려받은 후 -Dlog4j.configurationFile=log4j2_112-116.xml 인수 추가
    • 1.7~1.11.2: 이 파일을 서버가 있는 경로로 내려받은 후 -Dlog4j.configurationFile=log4j2_17-111.xml 인수 추가
    • 위 방법에서 파일 이름도 바꾸고자 할 경우 .xml 파일 이름이 추가하고자 하는 명령줄과 동일해야 합니다(예: -Dlog4j.configurationFile=파일이름.xml).
  • 1.7 이전 버전은 영향을 받지 않습니다.

 


 

출처 및 참고

https://www.minecraft.net/ko-kr/article/important-message--security-vulnerability-java-edition

 

바로가기

더보기

⚠️ 마인크래프트 계정 이동에 관한 내용은 여기를 참조하세요! ⚠️

 

동굴과 절벽 업데이트 내용은 여기를 참조하세요!

 

1.18의 마이너 업데이트 내용은 여기를 참조하세요!

 

마인크래프트 관련

 

소식팀

글쓴이  마리오군

 

728x90
반응형