※注意:本記事はプログラムの脆弱性を利用する内容の紹介が含まれています。決して真似しないようにしてください。
2021年12月10日に脆弱性が発表された、Javaベースのログ出力ライブラリー「Apache Log4j」。この脆弱性を利用してJava版『マインクラフト』で、サーバーに接続すると『DOOM』がプレイできるという映像が公開されています。
「Apache Log4j」では、遠隔の第三者が細工したデータを送る事で任意のコマンドを実行される可能性がある、ゼロデイ脆弱性が発表されています。対象となるバージョンは「2.15.0」以前の2.~系のバージョンと、および出荷候補版「2.15.0-rc1」で、情報処理推進機構(IPA)のホームページには最新バージョンへの更新などの対策方法も掲載中です。
このサービスはJava版『マインクラフト』にも使用されているため、日本公式Twitterなどでも注意を呼びかけています。現在はアップデートで最新バージョンは対応済のほか、古いバージョンのサーバー向けの対策やダウンロードファイルなども紹介しています。
なお、脆弱性を利用することは大変な危険行為です。くれぐれも真似することなく、最新バージョンへのアップデートをするようにしてください。
※UPDATE(2021/12/15 10:16):影響を受けるLog4jのバージョンを修正しました。
