10 grudnia 2021 roku świat cyberbezpieczeństwa zelektryzowała wiadomość o odkryciu krytycznej podatności w bibliotece Apache Log4j - narzędziu do logowania używanym przez miliony aplikacji napisanych w Javie. Luka, nazwana Log4Shell (CVE-2021-44228), pozwalała atakującemu na zdalne wykonanie dowolnego kodu na serwerze ofiary. Minecraft Java Edition, napisany w Javie i korzystający właśnie z Log4j, znalazł się w centrum zagrożenia.

Exploitowanie luki w Minecrafcie było przerażająco proste. Wystarczyło, że gracz wpisał specjalnie spreparowaną wiadomość na czacie serwera, a podatna wersja Log4j na serwerze automatycznie wykonywała złośliwy kod. Oznaczało to, że każdy publiczny serwer Minecraft Java Edition mógł zostać przejęty przez dowolną osobę, która potrafiła wpisać odpowiedni ciąg znaków. Serwery hostujące społeczności tysięcy graczy stanęły przed realnym zagrożeniem.

Mojang zareagował błyskawicznie. Już 10 grudnia wydano łatkę klienta, a 11 grudnia opublikowano wersję 1.18.1, która całkowicie eliminowała podatność. Studio wydało też szczegółowe instrukcje dla administratorów serwerów, którzy nie mogli natychmiast zaktualizować - zalecano uruchamianie serwerów z flagą JVM wyłączającą niebezpieczną funkcję lookup. Administratorzy największych sieci serwerów, takich jak Hypixel, Mineplex i 2b2t, pracowali przez noc, aby zabezpieczyć swoje infrastruktury.

Incydent Log4Shell uświadomił społeczności Minecrafta, jak krytyczne znaczenie mają aktualizacje bezpieczeństwa. Wielu operatorów serwerów po raz pierwszy zdało sobie sprawę, że ich hobby wiąże się z odpowiedzialnością za dane i bezpieczeństwo graczy. Mojang podkreślił, że Bedrock Edition nie był zagrożony, ponieważ nie jest napisany w Javie. Wydarzenie to na długo zmieniło podejście społeczności do bezpieczeństwa serwerów i regularnego aktualizowania oprogramowania.