article 草稿纸

edit history refresh

草稿纸

欢迎来到茶馆周报。

本周快照

Java版

本周更新了正式版Java版1.18.1，同时更新了以下发布候选：

• 1.18.1-rc1。修复了3个漏洞。
• 1.18.1-rc2。修复了1个漏洞。
• 1.18.1-rc3。修复了1个严重安全性漏洞（即下文的#Log4j 0day CVE 漏洞）。

然后我们就迎来了1.18.1。上周发了个预发布版，这周发了三个发布候选就出来了。

基岩版

本周更新了测试版1.18.10.22。

此版本同步了一些Java版的特性，主要是Java版上对纹理的更改。并日常修复了一些漏洞。

此外由于游戏质量问题，此版本并未发布到Windows平台。

MC相关

Log4j2 0day RCE 漏洞

Log4j2是Java开发常用的日志框架。此次由阿里云安全团队报告（通报原文）的远程代码执行漏洞（RCE，编号CVE-2021-44228）触发条件低，危害大，CVSS评分为最高分10.0。

对于Minecraft来说，攻击者可以通过游戏内聊天等方法，使游戏在日志中记录如${jndi:ldap://<url>}等的可被利用的字符串时在其他设备上远程执行代码。可以看到，触发条件真的很低。

Java涉及到各种服务的方方面面（我们暂且不提3 Million Devices的事情），就算是游戏方面，也会有很多游戏的后端是Java编写的，只是没公开。请尽快排查应用程序是否引入了Apache的log4j-core，若存在依赖引入，且在受影响版本范围内（Apache Log4j 2.x < 2.15.0），则可能存在漏洞影响，须升级所有相关应用到最新的log4j-2.15.0（下载页面）。此外也有一些措施，请参见通报原文。

本站（存档计划）的排查结果是，此漏洞不影响本站的任何公开应用程序。

未名残章更新专栏

大家好这里是湖远星。

存档计划相关

MCW相关

将基岩版开发者文档重定向

译名相关

今天我们的Sculk Sensor译名定了吗

在本周，我们的Sculk Sensor译名依旧未定，且是目前为止唯一未定的。

自20w49a（2020年12月2日）加入Sculk Sensor以来，截至2021年12月12日已经过了375天。

Sculk相关内容被放到了1.19——所以要等到1.19快照发布时才可能确定译名。

对石头制品译名的一些微调

茶馆相关

你知道吗

评论