问防止“我的世界”下载log4j 2.14.1

EN

我一直在研究如何针对最近的log4j漏洞(CVE-2021-44228、CVE-2021-45046、CVE-2021-45105)对我的Windows机器进行加固。幸运的是，我所拥有的唯一的java应用程序就是“我的世界”。

在官方的“我的世界”网站上，开发商声称升级到1.18.1将解决这个问题。我这样做了，但发现log4j的易受攻击版本(2.14.1)仍然存在于%APPDATA%/.minecraft/libraries中，并且仍然包含JndiLookup.class。因此，在我看来，开发人员所做的唯一事情就是设置log4j2.formatMsgNoLookups系统属性。根据Apache的说法，这是不够的(参见https://logging.apache.org/log4j/2.x/)。

我试过：

• 通过在log4j中手动放置2.17.0版本的log4j来自己更新%APPDATA%/.minecraft/libraries。
• 从2.14.1-jar中手动删除JndiLookup.class
• 用2.17.0覆盖2.14.1版本

但是每一次，在游戏发布后，旧版本又回来了。这场游戏似乎确保了第三方图书馆的有效性和完整性。通常，我会认为这是一件好事，但在这种情况下，情况正好相反。

有人成功推出了2.17.0的安全版本的“我的世界”吗？任何关于如何欺骗的建议